更新时间:2024-09-13 GMT+08:00

开启Cookie安全属性

“对外协议”配置为HTTPS时,WAF支持开启“Cookie安全属性”,开启后会将Cookie的HttpOnly和Secure属性设置为true。

Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。

Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。

前提条件

添加防护网站且部署模式为“独享模式”“云模式-CNAME接入”

约束条件

  • “云模式-ELB接入”不支持该功能。
  • “对外协议”包含“HTTP”时,“Cookie安全属性”默认为关闭状态,不支持开启。

开启Cookie安全属性

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
  5. 在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。
  6. “高级配置”栏中“Cookie安全属性”列单击,开启Cookie安全属性

    图1 开启Cookie安全属性