问题描述
CheckMarx正在标记一个错误,对我来说似乎是假阳性。我们的应用程序是用C#编写的,并使用ASP.NET Core。
错误是:
Web应用程序的Startup方法在Startup.cs的第22行创建一个cookie Startup,并在响应中返回它。但是,该应用程序未配置为使用“ httpOnly”属性自动设置cookie,并且代码未明确将其添加到cookie。
这是第22行:
public class Startup
我们确实正确设置了cookie策略:
app.UseCookiePolicy(new CookiePolicyOptions
{
HttpOnly = Microsoft.AspNetCore.CookiePolicy.HttpOnlyPolicy.Always
});
但是CheckMarx仍在标记此警告。而且我不认为我的Startup类会创建一个名为Startup的cookie。
我在这里找到了类似的帖子(未答复)-https://github.com/Azure/azure-functions-vs-build-sdk/issues/469。
这是假阳性吗?以及如何让CheckMarx停止对其进行标记?
解决方法
消除这些警告的唯一方法是将Startup类重命名为其他名称,例如Startup123。
没有其他东西可以消除警告,我认为这肯定是假阳性。