HttpOnly 속성이 없는 민감한 쿠키
설명
쿠키가 HttpOnly
속성이 설정되지 않은 Set-Cookie
헤더에서 전송되었습니다.
JavaScript가 쿠키 값을 액세스하지 못하도록 방지하기 위해 - 일반적으로 document.cookies
를 통해 - 인증에 사용되는 모든 쿠키는 HttpOnly
속성이 설정되어야 합니다.
수정 방법
대부분의 웹 애플리케이션 프레임워크는 쿠키가 사용자 에이전트에 전송되는 방식을 구성할 수 있습니다. 클라이언트에 쿠키를 할당할 때 다양한 보안 지시문을 활성화하는 방법에 대한 정보를 얻으려면 프레임워크 문서를 참조하세요.
애플리케이션이 응답 헤더에 직접 작성하여 쿠키를 할당하는 경우 모든 응답에 HttpOnly
속성이 포함되도록 하세요. 이 보호 기능을 활성화하면 애플리케이션이 특정 교차 사이트 스크립팅(XSS) 공격의 영향을 완화할 수 있습니다.
예시:
Set-Cookie: {cookie_name}=<random secure value>; HttpOnly
세부 정보
ID | 집계 | CWE | 유형 | 위험 |
---|---|---|---|---|
1004.1 | false | 1004 | Passive | Low |