HttpOnly 속성이 없는 민감한 쿠키

설명

HttpOnly 속성이 설정되지 않은 Set-Cookie 헤더로 쿠키가 전송되었습니다. 일반적으로 document.cookies를 통해 JavaScript가 쿠키 값을 액세스하는 것을 방지하기 위해 인가에 사용되는 모든 쿠키는 HttpOnly 속성이 있어야 합니다.

복구

대부분의 웹 응용 프로그램 프레임워크는 쿠키를 사용자 에이전트에게 어떻게 전송할지 구성할 수 있습니다. 클라이언트에 쿠키를 할당할 때 다양한 보안 지시문을 활성화하는 방법에 대한 자세한 정보는 프레임워크의 문서를 참조하십시오.

응용 프로그램이 응답 헤더에 직접 쿠키를 할당하도록 하는 경우, 모든 응답에 HttpOnly 속성을 포함하도록 합니다. 이정책을 적용함으로써, 응용 프로그램은 특정 Cross-Site Scripting (XSS) 공격의 영향을 완화할 수 있습니다.

예시:

Set-Cookie: {cookie_name}=<랜덤 안전한 값>; HttpOnly

상세정보

ID	집계	CWE	유형	위험
1004.1	false	1004	매뉴얼	낮음

링크

GitLab 원문 보기

도움말

기능 사용 가능성과 제품 평가판

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

도움받기

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기