HttpOnly 속성이 없는 민감한 쿠키

DAST 검사 1004.1 - HttpOnly 속성 없이 전송된 민감한 쿠키에 대한 설명, 해결 방법 및 관련 링크.

설명 # 쿠키가 HttpOnly 속성 없이 Set-Cookie 헤더로 전송되었습니다. JavaScript가 쿠키 값에 접근하는 것을 방지하기 위해 — 일반적으로 document.cookies 를 통해 — 인증에 사용되는 모든 쿠키에는 HttpOnly 속성이 설정되어 있어야 합니다. 해결 방법 # 대부분의 웹 애플리케이션 프레임워크는 사용자 에이전트에 쿠키를 전송하는 방식을 구성할 수 있습니다. 클라이언트에 쿠키를 할당할 때 다양한 보안 지시문을 활성화하는 방법에 대한 자세한 내용은 프레임워크 설명서를 참조하십시오. 애플리케이션이 응답 헤더에 직접 쓰기 방식으로 쿠키를 할당하는 경우, 모든 응답에 HttpOnly 속성이 포함되어 있는지 확인하십시오. 이 보호 기능을 활성화하면 애플리케이션이 특정 크로스 사이트 스크립팅(XSS) 공격의 영향을 완화할 수 있습니다. 예시: Set-Cookie: {cookie_name}=<random secure value>; HttpOnly 세부