보안 속성이 없는 민감한 쿠키
설명
쿠키는 Secure
속성이 설정되지 않은 Set-Cookie
응답에서 전송되었습니다.
민감한 쿠키 값이 실수로 일반 텍스트 HTTP를 통해 전송되지 않도록 방지하기 위해, 쿠키는 Secure
속성과 함께 선언하는 것이 권장됩니다.
수정 방법
대부분의 웹 애플리케이션 프레임워크는 쿠키가 사용자 에이전트에 어떻게 전송되는지를 구성할 수 있습니다. 클라이언트에 쿠키를 할당할 때 다양한 보안 속성을 활성화하는 방법에 대한 자세한 정보는 프레임워크의 문서를 참조하세요.
애플리케이션이 응답 헤더를 직접 작성하여 쿠키를 할당하는 경우, 모든 응답에 Secure
속성이 포함되도록 확인하세요. 이 보호 기능을 활성화하면 애플리케이션이 이제 더 이상 HTTP를 통해 민감한 쿠키를 전송하지 않습니다.
예시:
Set-Cookie: {cookie_name}=<random secure value>; Secure
세부 정보
ID | 집계 | CWE | 유형 | 위험 |
---|---|---|---|---|
614.1 | false | 614 | 수동 | 낮음 |