web应用程序设置了不含“secure”属性的会话cookie

作者:动易软件 来源:本站原创 点击数: 更新时间:2019年07月30日

问题描述:web应用程序设置了不含“secure”属性的会话cookie

问题分析:

HTTP设置cookie,提供了2个属性,可以增强cookie的安全性,分别是secure属性和httpOnly属性。

(1) secure属性可防止信息在传递的过程中被监听捕获后导致信息泄露,如果设置为true,可以限制只有通过https访问时,才会将浏览器保存的cookie传递到服务端,如果通过http访问,不会传递cookie。

(2) httpOnly属性可以防止程序获取cookie,如果设置为true,通过js等将无法读取到cookie,能有效的防止XSS攻击。

 

解决方案:要在https下设置这个secure属性为true;即安装ssl证书。

 

33444
本篇文章的Tags:
如果以上内容未能解决您的问题,欢迎您到我们的讨论区发帖寻求帮助,我们的工作人员会热情为您解答。