HttpOnly 속성이 없는 민감한 쿠키
설명
쿠키가 HttpOnly 속성이 설정되지 않은 Set-Cookie 헤더로 전송되었습니다.
일반적으로 document.cookies를 통해 JavaScript가 쿠키 값을 액세스하는 것을 방지하기 위해,
인가에 사용되는 모든 쿠키는 HttpOnly 속성이 설정되어야 합니다.
해결 방안
대부분의 웹 응용 프로그램 프레임워크는 쿠키를 사용자 에이전트에게 전송하는 방법을 구성할 수 있습니다. 쿠키를 클라이언트에 할당할 때 다양한 보안 지시문을 활성화하는 방법에 대한 자세한 내용은 해당 프레임워크의 문서를 참조하십시오.
응용 프로그램이 응답 헤더에 직접 작성하여 쿠키를 할당하는 경우, 모든 응답에 HttpOnly 속성이 포함되도록 확인하십시오.
이 보호를 활성화함으로써, 응용 프로그램은 특정 교차 사이트 스크립팅 (XSS) 공격의 영향을 완화할 수 있습니다.
예시:
Set-Cookie: {cookie_name}=<random secure value>; HttpOnly
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 1004.1 | false | 1004 | Passive | Low |
도움말