问题描述
我正在使用owasp zap检查我的rails(v。5.0.2)应用程序安全性。 Cookie存在很多问题,例如“ Cookie No HttpOnly Flag”,“没有SameSite属性的Cookie”,“没有安全标志的Cookie”。我已经在此代码的帮助下对此进行了修补(该代码来自Rails存储库中的一项建议)
module CookieJarExtensions
def handle_options(options)
super
options[:httponly] = true
options[:same_site] = :lax
options[:secure] = true
end
end
Actiondispatch::Cookies::CookieJar.class_eval do
prepend CookieJarExtensions
end
当我在浏览器中查找时,它可以正常工作(至少chrome cookie表示“可访问脚本号(HttpOnly)”),但是owasp仍然说它可用于javascript。是的,我很确定它是相同的cookie。有什么想法为什么会发生吗?
解决方法
看看与警报关联的HTTP响应-您可以看到该标志吗?