HttpOnly 속성이 없는 민감한 쿠키
설명
쿠키가 HttpOnly 속성이 설정되지 않은 Set-Cookie 헤더로 전송되었습니다. 일반적으로 document.cookies를 통해 자바스크립트가 쿠키 값을 액세스하는 것을 방지하기 위해 인가에 사용되는 모든 쿠키는 HttpOnly 속성이 설정되어 있어야 합니다.
수정 방법
대부분의 웹 응용 프로그램 프레임워크는 쿠키를 사용자 에이전트에게 전송하는 방법을 구성할 수 있습니다. 쿠키를 클라이언트에 할당할 때 다양한 보안 지시문을 활성화하는 방법에 대한 자세한 내용은 프레임워크의 설명서를 참조하십시오.
응용 프로그램이 응답 헤더에 직접 작성하여 쿠키를 할당하는 경우 모든 응답에 HttpOnly 속성이 포함되도록 확인하십시오. 이 보호를 활성화함으로써 응용 프로그램은 특정 Cross-Site Scripting (XSS) 공격의 영향을 줄일 수 있습니다.
예시:
Set-Cookie: {cookie_name}=<random secure value>; HttpOnly
세부 정보
| ID | 집계된 정보 | CWE | 유형 | 리스크 |
|---|---|---|---|---|
| 1004.1 | false | 1004 | 수동 | 낮음 |
도움말