HttpOnly 속성이 없는 민감한 쿠키

설명

쿠키가 HttpOnly 속성이 설정되지 않은 Set-Cookie 헤더에서 전송되었습니다.

JavaScript가 쿠키 값을 액세스하지 못하도록 방지하기 위해 - 일반적으로 document.cookies를 통해 - 인증에 사용되는 모든 쿠키는 HttpOnly 속성이 설정되어야 합니다.

대부분의 웹 애플리케이션 프레임워크는 쿠키가 사용자 에이전트에 전송되는 방식을 구성할 수 있습니다. 클라이언트에 쿠키를 할당할 때 다양한 보안 지시문을 활성화하는 방법에 대한 정보를 얻으려면 프레임워크 문서를 참조하세요.

애플리케이션이 응답 헤더에 직접 작성하여 쿠키를 할당하는 경우 모든 응답에 HttpOnly 속성이 포함되도록 하세요. 이 보호 기능을 활성화하면 애플리케이션이 특정 교차 사이트 스크립팅(XSS) 공격의 영향을 완화할 수 있습니다.

예시:

Set-Cookie: {cookie_name}=<random secure value>; HttpOnly

ID	집계	CWE	유형	위험
1004.1	false	1004	Passive	Low

GitLab 원문 보기

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기

인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!