安全修复之Web——会话Cookie中缺少HttpOnly属性

Posted 2023-04-27

参考技术A 日常我们开发时，会遇到各种各样的奇奇怪怪的问题（踩坑o(╯□╰)o），这个常见问题系列就是我日常遇到的一些问题的记录文章系列，这里整理汇总后分享给大家，让其还在深坑中的小伙伴有绳索能爬出来。
同时在这里也欢迎大家把自己遇到的问题留言或私信给我，我看看其能否给大家解决。

会话Cookie中缺少HttpOnly属性

Cookie的HttpOnly设定是由微软IE6时实现的，当前已成为标准，这个限定能有效限定Cookie劫持、限定客户端修改携带httpOnly属性的cookie键值对。同时由于它的安全限定较高，有一些业务在增加上该限定后无法有效获取到Cookie，因此在使用时还是需要根据业务场景进行使用。

gin框架下设置cookie的HttpOnly，第七个参数设置为true：

加密会话(SSL) Cookie 中缺少中Secure属性

在项目使用appscan扫描的时候出现:

处理方法：

打开项目的web.config文件，在<system.web>下面增加

<httpCookies httpOnlyCookies="true" requireSSL="true" />

注意，加入参数之后，如果继续使用http来访问的时候，如登录需要使用cookie,则这个时候是不能正常读到cookie的

3.修改后台写Cookies时的设置 cookie.Secure = true：

       HttpResponse response = HttpContext.Current.Response;

            var cookie = new HttpCookie(key, value);

            cookie.HttpOnly = true;

            cookie.Path = "/";

            cookie.Expires = DateTime.Now.AddHours(1);

            cookie.Secure = true; 

            response.AppendCookie(cookie);

本文出自 “枫林晚” 博客，请务必保留此出处http://fengwan.blog.51cto.com/508652/1774768