我已经下载了Netsparker的试用版,并使用它扫描我的Java应用程序。
正如许多网站建议的那样,我通过在web.xml中将HTTPOnly
设置为true
来创建安全的cookie。
当我用Firebug检查应用程序时,它显示HttpOnly标志,但是在Netsparker的测试报告中,cookie没有标记为HttpOnly。
如何解决这个问题?为什么Netsparker将此漏洞报告为漏洞并告诉我需要修复此漏洞?还有其他测试方法吗?
最佳答案
首先要注意的是,Secure和HTTPOnly是cookie的两个不同属性。
除此之外,您的应用程序上可能有多个cookie。确保为所有cookie设置HTTPOnly标志。
关于java - Netsparker工具显示cookie未标记为HttpOnly,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/38782022/