Cookie的安全设置

细节

如果Cookie未标记为“安全”，则可能通过不安全的链接发送cookie，无论与主机的会话是否安全。换句话说，它可以通过HTTP链接传输。

另外，在Cookie上设置“HTTPOnly”标记可以防止诸如XSS的攻击，因为无法通过客户端访问Cookie（例如，无法使用JavaScript脚本访问）。

修复

Set-Cookie头应当使用“Secure”和“HTTPOnly”设置。这些设置应适用于本机和网络应用程序的所有Cookie。

参考

• OWASP Mobile Top 10: M9 - Improper Session Handling
• CWE CWE-614 - Sensitive Cookie in HTTPS Session Without 'Secure' Attribute