社区
Java
帖子详情
appscan问题 具有不安全、不正确或缺少SameSite属性的Cookie
黄武森
2021-02-22 09:19:54
appscan更新软件更新后就出现这个问题。不知道怎么解决
...全文
2289
回复
打赏
收藏
appscan问题 具有不安全、不正确或缺少SameSite属性的Cookie
appscan更新软件更新后就出现这个问题。不知道怎么解决
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
same
site
-
cookie
:使用Same
Site
Cookie
保护您的网站
选择性/相同站点的
cookie
一个PSR-15中间件,用Same
Site
Cookie
保护您的网站 :
cookie
: 要求 PHP 7.2+或8.0+ 安装 composer require selective/same
site
-
cookie
Same
Site
Cookie
相同站点的
cookie
(“仅第一方”或“第一方”)使服务器断言特定的
cookie
只应与从同一可注册域发起的请求一起发送,从而减轻CSRF和信息泄漏攻击的风险。 警告: Same
Site
Cookie
根本不适用于旧版浏览器,也不适用于某些Mobil浏览器,例如IE 10,Blackberry,Opera Mini,IE Mobile,适用于Android的UC浏览器。 可以在此处找到更多详细信息: Slim 4整合 <?php use Selective \ Same
Site
Cookie
\ Same
Site
Coo
具有
不
安全
、不
正确
或
缺少
Same
Site
属性
的
Cookie
目录1、概述2、分析2.1、Same
site
属性
是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用
APPSCAN
对网站进行扫描,结果报了一个“
具有
不
安全
、不
正确
或
缺少
Same
Site
属性
的
Cookie
”的漏洞。 2、分析 2.1、Same
site
属性
是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-
Cookie
响应头新增Same
site
属性
,它用来标明这个
Cookie
是个“同站
Cookie
”,同站Cooki
记一次低危漏洞处理
Spring+Shiro低危漏洞处理
中级漏洞处理
看源码我们可以看到,在DefaultWebSessionManager这个类有2个
属性
,其中有一个就是
Cookie
,它的构造方法可以去改变
cookie
的值,从而给
cookie
加上Same
Site
属性
。CSP的设置可以在一定程度上限制XSS攻击,有2种方式可以设置。遇到这种低危漏洞,一般来说就是去网上找一找处理方法,当找不到有效方法的时候,根据扫描结果和修复建议,可以尝试通过看源码解决。所以这里就对数据库后台的查询进行拦截,做一个统一的异常处理,使前台看不到这种报错,类似下图这种,具体的样式可以自己设计。
AppScan
安全
专项
问题
解决
通过将
Cookie
限制为第一方或同一站点上下文,防止
Cookie
信息泄露 如果没有额外的保护措施(例如反 CSRF 令牌),攻击可能会扩展到跨站点请求伪造 (CSRF) 攻击。为了从源头上解决CSRF(跨站请求伪造)攻击,Set-
Cookie
响应头新增Same
site
属性
,它用来标明这个
Cookie
是个“同站
Cookie
”,同站
Cookie
只能作为第一方
Cookie
,不能作为第三方
Cookie
,Same
site
有三个
属性
值,分别是 Strict 、Lax和None。这是最
安全
的伪指令。
Java
51,410
社区成员
85,982
社区内容
发帖
与我相关
我的任务
Java
Java相关技术讨论
复制链接
扫一扫
分享
社区描述
Java相关技术讨论
java
spring boot
spring cloud
技术论坛(原bbs)
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章
黄武森 2021-02-22 09:19:54 
发帖
与我相关
我的任务
分享
