偵測到沒有 SameSite 旗標的 Cookie
low Web App Scanning Plugin ID 115540
語系:
概要
偵測到沒有 SameSite 旗標的 Cookie說明
SameSite 是一個可在 Cookie 上設定的屬性,用於指示 Web 瀏覽器是否可將此 Cookie 與跨網站要求一起傳送,以協助防止跨網站要求偽造 (CSRF) 攻擊。該屬性具有三個可能的值:
- Strict :只會在第一方內容中傳送 Cookie,因此可防止從第三方網站發起包含 Cookie 的跨網站要求。
- Lax:允許在頂層導覽從第三方網站起始的 GET 跨網站要求中傳送 Cookie。例如,從外部網站前往超文字連結會使要求包含 Cookie。
- None:Cookie 已明確設定為由瀏覽器在任何內容中傳送。
掃描程式發現應用程式設定的 Cookie 缺少 SameSite 屬性,或是具有錯誤設定。
解決方案
處理跨網站內容中的 Cookie 時,Web 瀏覽器的預設行為可能會有所不同,因而無法預測在此內容中傳送 Cookie 的最終決定。應在每個 Cookie 中設定 SameSite 屬性,以強制執行開發人員的預期結果。使用「None」屬性值時,請確認 Cookie 也已設定「Secure」旗標。另請參閱
https://blog.chromium.org/2019/10/developers-get-ready-for-new.html
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite
Plugin 詳細資訊
嚴重性: Low
ID: 115540
類型: remote
系列: Web Applications
已發布: 2018/12/14
已更新: 2023/12/11
掃描範本: basic, config_audit, full, overview, pci, quick, scan
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 評分資料來源: Tenable
參考資訊
CWE: 352
OWASP: 2010-A5, 2013-A8, 2021-A1
WASC: Cross-Site Request Forgery
DISA STIG: APSC-DV-002500
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.12.6.1, 27001-A.14.2.5
NIST: sp800_53-SI-10(5)
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-4.2.2
PCI-DSS: 3.2-6.5.9