Netsparketer Tool zeigt Cookie ist nicht markiert als HttpOnly

Question

Ich habe eine Testversion von Netsparker heruntergeladen und scannen meine Java-Anwendung damit.

Ich habe einen sicheren Cookie erstellt, indem ich HTTPOnly auf true in web.xml wie von vielen Websites vorgeschlagen gesetzt.

Wenn ich die Anwendung mit Firebug überprüfe, wird das HttpOnly-Flag angezeigt, aber im Testbericht von Netsparker ist der Cookie nicht als HttpOnly markiert.

Wie behebt man dieses Problem? Warum meldet Netsparker dies als Schwachstelle und sagt mir, dass ich es beheben muss? Gibt es andere Möglichkeiten, es zu testen?

Answer 1

Zunächst ist zu beachten, dass Secure und HTTPOnly zwei verschiedene Attribute für einen Cookie sind.
Darüber hinaus kann es mehr als einen Cookie auf Ihrer Anwendung geben. Stellen Sie sicher, dass Sie das HTTPOnly-Flag für alle Cookies festlegen.