移动安全指南-使用Cookie的安全设置

释放双眼,带上耳机,听听看~!
移动安全指南-使用Cookie的安全设置

详细描述

如果Cookie未标记为“Secure”,则无论与主机的会话是否安全,都可能通过不安全的连接进行传输。 换句话说,它可以通过HTTP连接来传输。

此外,由于Cookie无法通过客户端访问(例如,无法使用JavaScript代码段访问),因此在Cookie上设置“HTTPOnly”标志可防止跨站点脚本(XSS)等攻击。

建议

Set-Cookie头应该使用“Secure”和“HTTPOnly”设置。 这些设置应适用于本机和/或网络应用程序的所有Cookie。

CWE/OWASP

  • OWASP Mobile Top 10: M9 – Improper Session Handling
  • CWE CWE-614 – Sensitive Cookie in HTTPS Session Without ‘Secure’ Attribute

人已赞赏
安全工具

移动安全开发指南-实现安全数据存储

2019-10-24 16:19:05

安全工具

移动安全开发指南-完全验证SSL / TLS

2019-10-24 16:21:49

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索