会话 Cookie 中缺少 secure 属性

漏洞名称：

会话 Cookie 中缺少 secure 属性

 

漏洞描述：

在应用程序测试过程中，检测到所测试的 Web 应用程序设置了不含“secure”属性的会话 cookie。

由于此会话 cookie不包含“secure”属性，所以用户可以通过未加密的 http 协议传输 Cookie,可能造成用户信息被窃听。

 

修复建议：

基本上，cookie 的唯一必需属性是“name”字段，建议设置“secure”属性，以保证 cookie 的安全。

 

 

修复过程：

nginx配置sercure属性，server下添加如下：

 

proxy_cookie_path / "/; httponly;secure; SameSite=Lax";

 

重启nginx