фон

AppScan — это коммерческое программное обеспечение для сканирования безопасности. «Подделка межсайтового запроса» и «Отсутствует атрибут безопасности в файлах cookie зашифрованного сеанса (SSL)» — две наиболее распространенные проблемы, которые сканируются.

ПРИМЕЧАНИЕ. Обязательно. HCL AppScan Standard Эта версия, если вы используете IBM Security AppScan Standard При сканировании могут возникать ложные срабатывания. Это явление было обнаружено в ходе испытаний. Конкретная причина неизвестна.

Cookie

Файлы cookie — это некоторые данные, используемые для хранения информации, возвращаемой сервером клиенту, и клиент сохраняет ее.

При следующем посещении веб-сайта клиент отправит сохраненный файл cookie на сервер, а затем сервер будет использовать его для выполнения некоторых операций.

Используя файлы cookie, мы можем реализовать автоматический вход в систему, сохранение истории посещений, проверку личности и другие функции.

Атрибуты безопасности файлов cookie

1. HttpOnly
   1. существовать Cookie 中настраивать HttpOnly После атрибута передайте JS Другие скрипты программы не будут читабельны в браузере Cookie информация.
   2. Запретить программам получать Cookie Затем атакуйте.
2. Secure
   1. настройки После этого атрибута можно только пройти HTTPS протокол доступа.
   2. использовать HTTPS Протокол может предотвратить утечку информации после перехвата и захвата данных в процессе передачи.
3. SameSite
   1. Chrome Браузерсуществовать 51 версия, для Cookie Добавлены новые атрибуты, чтобы предотвратить CSRF атаковатьи Отслеживание пользователей。
   2. Он может иметь три значения: Strict, Lax и None.
   3. Strict
      1. Полный запрет третьих лиц Файлы cookie, если они являются межсайтовыми, не будут отправляться ни при каких обстоятельствах. Cookie。
      2. Только текущая страница URL Запрос будет подан только в том случае, если цель соответствует. Cookie。
   4. Lax
      1. Правила немного смягчены, и навигация по целевому URL-адресу Get Разве что по запросу.
   5. None
      1. Chrome планирует сделать Lax настройкой по умолчанию. В это время,Веб-сайты могут явно отключить атрибут SameSite.,Установите значение Нет.
      2. но,Предполагается, что это должно быть одновременнонастраиватьSecureсвойство（Cookie могу только пройти HTTPS протокол), в противном случае он недействителен.
      3. Set-Cookie: key=value; SameSite=None; Secure

Зная «Понятный Cookie», вы будете знать, как найти соответствующий метод восстановления.

Если вы используете Nginx в качестве веб-контейнера, вам нужно всего лишь добавить следующую конфигурацию в nginx.conf, чтобы исправить это.

location /api/ {
        proxy_cookie_path / "/; httponly; secure; SameSite=Strict";        
}

Интерфейс сервера/входа установит Cookie в ответ, который является атрибутом Set-Cookie на рисунке.

proxy_cookie_path / "/; Secure; SameSite=Strict"; будет внутри Response Set-Cookie Добавлено в свойства Secure и SameSite данные.

Таким образом, когда браузер отправляет запрос, он будет Cookie настраивать Secure и SameSite свойство.