检测到会话cookie中缺少HttpOnly属性

检测到会话cookie中缺少HttpOnly属性

1

详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息，造成用户cookie信息泄露，增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展，该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。 如果在Cookie中没有设置HttpOnly属性为true，可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息，如ASP.NET会话ID或Forms身份验证票证，攻击者可以重播窃取的Cookie，以便伪装成用户或获取敏感信息，进行跨站脚本攻击等。 如果在Cookie中设置HttpOnly属性为true，兼容浏览器接收到HttpOnly cookie，那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这将有助于缓解跨站点脚本威胁。 解决办法 向所有会话cookie中添加“HttpOnly”属性。 Java示例： HttpServletResponse response2 = (HttpServletResponse)response; response2.setHeader( "Set-Cookie", "name=value; HttpOnly");  C#示例： HttpCookie myCookie = new HttpCookie("myCookie");  myCookie.HttpOnly = true;  Response.AppendCookie(myCookie); VB.NET示例： Dim myCookie As HttpCookie = new HttpCookie("myCookie")  myCookie.HttpOnly = True  Response.AppendCookie(myCookie)