HttpOnly属性のないセンシティブクッキー
説明
クッキーはHttpOnly 属性が設定されていないSet-Cookie ヘッダで送信されました。JavaScript がクッキーの値(通常はdocument.cookies 経由)にアクセスできるのを防ぐために、作成者に使用されるすべてのクッキーはHttpOnly 属性が設定されていなければなりません。
対処法
ほとんどのウェブ・アプリケーション・フレームワークは、クッキーをどのようにユーザ・エージェントに送るかを設定できま す。クッキーをクライアントに割り当てるときに、様々なセキュリティ指示文を有効にする方法の詳細については、フレームワークの文書 を参照してください。
アプリケーションが応答ヘッダに直接書き込むことによってクッキーを割り当てる場合、すべての応答がHttpOnly 属性を含むようにしてください。この保護を有効にすることで、アプリケーションは特定のクロスサイト・スクリプティングHttpOnly 攻撃の影響を軽減することができます。
使用例:
Set-Cookie: {cookie_name}=<random secure value>; HttpOnly
詳細
| ID | 集計 | CWE | 種類 | リスク |
|---|---|---|---|---|
| 1004.1 | false | 1004 | 受動的 | 低 |