社区
Java
帖子详情
appscan问题 具有不安全、不正确或缺少SameSite属性的Cookie
黄武森
2021-02-22 09:19:54
appscan更新软件更新后就出现这个问题。不知道怎么解决
...全文
2238
回复
打赏
收藏
appscan问题 具有不安全、不正确或缺少SameSite属性的Cookie
appscan更新软件更新后就出现这个问题。不知道怎么解决
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
same
site
-
cookie
:使用Same
Site
Cookie
保护您的网站
选择性/相同站点的
cookie
一个PSR-15中间件,用Same
Site
Cookie
保护您的网站 :
cookie
: 要求 PHP 7.2+或8.0+ 安装 composer require selective/same
site
-
cookie
Same
Site
Cookie
相同站点的
cookie
(“仅第一方”或“第一方”)使服务器断言特定的
cookie
只应与从同一可注册域发起的请求一起发送,从而减轻CSRF和信息泄漏攻击的风险。 警告: Same
Site
Cookie
根本不适用于旧版浏览器,也不适用于某些Mobil浏览器,例如IE 10,Blackberry,Opera Mini,IE Mobile,适用于Android的UC浏览器。 可以在此处找到更多详细信息: Slim 4整合 <?php use Selective \ Same
Site
Cookie
\ Same
Site
Coo
具有
不
安全
、不
正确
或
缺少
Same
Site
属性
的
Cookie
目录1、概述2、分析2.1、Same
site
属性
是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用
APPSCAN
对网站进行扫描,结果报了一个“
具有
不
安全
、不
正确
或
缺少
Same
Site
属性
的
Cookie
”的漏洞。 2、分析 2.1、Same
site
属性
是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-
Cookie
响应头新增Same
site
属性
,它用来标明这个
Cookie
是个“同站
Cookie
”,同站Cooki
前端
安全
问题
汇总
简单来说,Nonce为应用的各种资源生成了随机值,他们被加到脚本样式表的标签上,当值与响应头的。即使携带恶意脚本的响应没有实际在页面被解析执行,但是如果接口响应Content-type此刻为html,这就满足了脚本可执行的基本条件,对于扫描软件来说,这就是有
问题
的case。当浏览器加载包含 http-equiv
属性
的 标签的 HTML 页面时,它会在解析该页面时读取 标签的内容,并将这些内容视为相应的 HTTP 头部。视为检查的一个case,因此,必须要设置Nginx,这也是这个
安全
问题
的繁琐所在。
记一次低危漏洞处理
Spring+Shiro低危漏洞处理
中级漏洞处理
看源码我们可以看到,在DefaultWebSessionManager这个类有2个
属性
,其中有一个就是
Cookie
,它的构造方法可以去改变
cookie
的值,从而给
cookie
加上Same
Site
属性
。CSP的设置可以在一定程度上限制XSS攻击,有2种方式可以设置。遇到这种低危漏洞,一般来说就是去网上找一找处理方法,当找不到有效方法的时候,根据扫描结果和修复建议,可以尝试通过看源码解决。所以这里就对数据库后台的查询进行拦截,做一个统一的异常处理,使前台看不到这种报错,类似下图这种,具体的样式可以自己设计。
Java
51,397
社区成员
85,843
社区内容
发帖
与我相关
我的任务
Java
Java相关技术讨论
复制链接
扫一扫
分享
社区描述
Java相关技术讨论
java
spring boot
spring cloud
技术论坛(原bbs)
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章