如何解决OWASP ZAP表示缺少httponly标志,但它以chrome显示任何想法如何解决?
我正在使用owasp zap检查我的rails(v。5.0.2)应用程序安全性。 Cookie存在很多问题,例如“ Cookie No HttpOnly Flag”,“没有SameSite属性的Cookie”,“没有安全标志的Cookie”。我已经在此代码的帮助下对此进行了修补(该代码来自Rails存储库中的一项建议)
module CookieJarExtensions
def handle_options(options)
super
options[:httponly] = true
options[:same_site] = :lax
options[:secure] = true
end
end
Actiondispatch::Cookies::CookieJar.class_eval do
prepend CookieJarExtensions
end
当我在浏览器中查找时,它可以正常工作(至少chrome cookie表示“可访问脚本号(HttpOnly)”),但是owasp仍然说它可用于javascript。是的,我很确定它是相同的cookie。有什么想法为什么会发生吗?
解决方法
看看与警报关联的HTTP响应-您可以看到该标志吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。