我们的一位客户对我们的应用程序进行了渗透测试,并在使用Cookie时报告缺失的标志。将安全和httpOnly标志添加到过期的cookie是否有意义?
设置cookie时,我们应始终使用httpOnly
和secure
标志。
经过一番测试后,我意识到cookie设置时实际上使用了这个标志,但有一个例外:注销。
注销某些cookie时,设置了过去的到期日期,删除cookie
,secure
和httpOnly
未被使用。
这是否代表安全风险?在设置过期的cookie时设置这些标志是否有意义?
你的前两段话是说两种不同的东西? – PeeHaa
对于某些情况下,“不安全”的cookie是jsessionidsso(Tomcat中的单点登录)。在注销并在服务器端执行session.invalidate()时,它设置为过期。 – Tinchogob
@PeeHaa我试图澄清。我想说的是,如果应用程序中没有其他漏洞(这不太可能),那么就不需要标记此cookie。然而,可能还有其他漏洞,因此最好不必要地标记cookie,而不是给攻击者链中的额外链接。 –