Ich habe eine Testversion von Netsparker heruntergeladen und scannen meine Java-Anwendung damit.Netsparketer Tool zeigt Cookie ist nicht markiert als HttpOnly
Ich habe einen sicheren Cookie erstellt, indem ich HTTPOnly
auf true
in web.xml wie von vielen Websites vorgeschlagen gesetzt.
Wenn ich die Anwendung mit Firebug überprüfe, wird das HttpOnly-Flag angezeigt, aber im Testbericht von Netsparker ist der Cookie nicht als HttpOnly markiert.
Wie behebt man dieses Problem? Warum meldet Netsparker dies als Schwachstelle und sagt mir, dass ich es beheben muss? Gibt es andere Möglichkeiten, es zu testen?