2016-08-05 10 views
1

Netsparker 평가판을 다운로드하고 Java 응용 프로그램을 검사했습니다.Netsparker 도구에서 쿠키가 HttpOnly로 표시되어 있지 않음을 나타냅니다.

많은 웹 사이트에서 제안한대로 web.xml에서 HTTPOnlytrue으로 설정하여 안전한 쿠키를 만들었습니다.

Firebug로 응용 프로그램을 검사하면 HttpOnly 플래그가 표시되지만 Netsparker의 테스트 보고서에는 HttpOnly로 표시되지 않습니다.

이 문제를 해결하는 방법은 무엇입니까? Netsparker가 이것을 취약점으로보고하고 수정해야한다고 알려주는 이유는 무엇입니까? 시험 할 다른 방법이 있습니까?

답변

1

Secure와 HTTPOnly는 쿠키에 대해 서로 다른 두 가지 속성이 있다는 점에 유의해야합니다.
그 외에도 응용 프로그램에 둘 이상의 쿠키가있을 수 있습니다. 모든 쿠키에 대해 HTTPOnly 플래그를 설정해야합니다.