漏洞名称:
会话 Cookie 中缺少 secure 属性
漏洞描述:
在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含“secure”属性的会话 cookie。
由于此会话 cookie不包含“secure”属性,所以用户可以通过未加密的 http 协议传输 Cookie,可能造成用户信息被窃听。
修复建议:
基本上,cookie 的唯一必需属性是“name”字段,建议设置“secure”属性,以保证 cookie 的安全。
修复过程:
nginx配置sercure属性,server下添加如下:
proxy_cookie_path / "/; httponly;secure; SameSite=Lax";
重启nginx