HttpOnly 속성이 없는 민감한 쿠키
설명
쿠키가 HttpOnly 속성이 설정되지 않은 Set-Cookie 헤더로 전송되었습니다.
일반적으로 document.cookies를 통해 JavaScript가 쿠키 값을 액세스하는 것을 방지하기 위해, 인가에 사용되는 모든 쿠키는 HttpOnly 속성이 설정되어야 합니다.
조치
대부분의 웹 응용 프로그램 프레임워크는 쿠키를 사용자 에이전트에게 어떻게 보낼지 구성할 수 있습니다. 쿠키를 클라이언트에게 할당할 때 다양한 보안 지시문을 활성화하는 방법에 대한 자세한 내용은 프레임워크의 문서를 참조하십시오.
응용 프로그램이 응답 헤더에 쿠키를 할당하는 경우, 모든 응답에 HttpOnly 속성이 포함되도록 확인합니다. 이 보호를 활성화함으로써 응용 프로그램은 특정 Cross-Site Scripting (XSS) 공격의 영향을 완화할 수 있습니다.
예시:
Set-Cookie: {cookie_name}=<랜덤 안전 값>; HttpOnly
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 1004.1 | false | 1004 | Passive | Low |
도움말