更新时间:2024-09-13 GMT+08:00
开启Cookie安全属性
当“对外协议”配置为HTTPS时,WAF支持开启“Cookie安全属性”,开启后会将Cookie的HttpOnly和Secure属性设置为true。
Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。
Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。
前提条件
已添加防护网站且部署模式为“独享模式”或“云模式-CNAME接入”。
约束条件
- “云模式-ELB接入”不支持该功能。
- “对外协议”包含“HTTP”时,“Cookie安全属性”默认为关闭状态,不支持开启。
开启Cookie安全属性
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。
- 在“高级配置”栏中“Cookie安全属性”列单击,开启Cookie安全属性
图1 开启Cookie安全属性