appscan问题具有不安全、不正确或缺少SameSite属性的Cookie

黄武森 2021-02-22 09:19:54

appscan更新软件更新后就出现这个问题。不知道怎么解决

...全文

2239 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

选择性/相同站点的cookie 一个PSR-15中间件，用SameSite Cookie保护您的网站 :cookie: 要求 PHP 7.2+或8.0+ 安装 composer require selective/samesite-cookie SameSite Cookie 相同站点的cookie（“仅第一方”或“第一方”）使服务器断言特定的cookie只应与从同一可注册域发起的请求一起发送，从而减轻CSRF和信息泄漏攻击的风险。警告： SameSite Cookie根本不适用于旧版浏览器，也不适用于某些Mobil浏览器，例如IE 10，Blackberry，Opera Mini，IE Mobile，适用于Android的UC浏览器。可以在此处找到更多详细信息： Slim 4整合 <?php use Selective \ SameSiteCookie \ SameSiteCoo

目录1、概述2、分析2.1、Samesite属性是个啥？2.2、Strict2.3、Lax2.4、None 1、概述最近，用APPSCAN对网站进行扫描，结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥？为了从源头上解决CSRF（跨站请求伪造）攻击，Google起草了一份草案来改进HTTP协议，那就是为Set-Cookie响应头新增Samesite属性，它用来标明这个 Cookie是个“同站 Cookie”，同站Cooki

简单来说，Nonce为应用的各种资源生成了随机值，他们被加到脚本样式表的标签上，当值与响应头的。即使携带恶意脚本的响应没有实际在页面被解析执行，但是如果接口响应Content-type此刻为html，这就满足了脚本可执行的基本条件，对于扫描软件来说，这就是有问题的case。当浏览器加载包含 http-equiv 属性的标签的 HTML 页面时，它会在解析该页面时读取标签的内容，并将这些内容视为相应的 HTTP 头部。视为检查的一个case，因此，必须要设置Nginx，这也是这个安全问题的繁琐所在。

Spring+Shiro低危漏洞处理

看源码我们可以看到，在DefaultWebSessionManager这个类有2个属性，其中有一个就是Cookie，它的构造方法可以去改变cookie的值，从而给cookie加上SameSite属性。CSP的设置可以在一定程度上限制XSS攻击，有2种方式可以设置。遇到这种低危漏洞，一般来说就是去网上找一找处理方法，当找不到有效方法的时候，根据扫描结果和修复建议，可以尝试通过看源码解决。所以这里就对数据库后台的查询进行拦截，做一个统一的异常处理，使前台看不到这种报错，类似下图这种，具体的样式可以自己设计。

51,397

社区成员

85,844

社区内容

发帖

与我相关

我的任务

javaspring bootspring cloud 技术论坛（原bbs）

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章