更新时间:2026-07-03 GMT+08:00
分享

开启Cookie安全属性

Cookie安全属性功能,是针对Web业务Cookie安全的加固能力,核心作用是自动为源站返回的Cookie追加HttpOnly和Secure属性(均设为true),防范XSS(跨站脚本攻击)窃取Cookie、Cookie劫持、中间人篡改Cookie等安全风险,同时满足安全合规要求,避免因Cookie中未插入HttpOnly Secure等安全配置字段,而被Appscan、AWVS、绿盟等Web安全扫描器记录为安全威胁。

“对外协议”配置为HTTPS时,WAF支持开启“Cookie安全属性”,开启后会将Cookie的HttpOnly和Secure属性设置为true。

原理介绍

WAF Cookie安全属性功能工作在7层响应流改写层,不改变源站业务逻辑、不生成Cookie,仅对源站返回给客户端的Set-Cookie响应头进行自动安全增强,属于“被动加固”,不影响请求转发效率。

具体生效流程如图1所示。

图1 Cookie安全属性生效流程
详细说明如下:
  1. 客户端发起HTTPS请求。
  2. WAF接收请求,并完成攻击检测、合规校验。
  3. WAF将检测后的正常业务请求转发至源站。
  4. 源站处理请求。
  5. 源站返回包含Set-Cookie响应头的响应数据(Cookie由后端Web Server通过框架配置或Set-Cookie指令插入)。
  6. WAF拦截源站响应,解析Set-Cookie响应头,检查“Cookie”是否已包含“HttpOnly”“Secure”属性。
    • 若Cookie已包含对应属性,WAF不做任何修改,直接转发响应。
    • 若未包含,WAF自动追加属性(不改变Cookie值、有效期等核心信息)。
  7. WAF将增强后的响应数据转发至客户端,客户端浏览器识别并应用HttpOnly、Secure属性。

典型应用场景

  • 所有采用HTTPS协议的Web业务,例如电商网站、管理后台、支付系统、用户登录类站点。
  • 需通过安全扫描、等保测评、PCI DSS认证的业务。
  • 存在登录态、用户敏感信息存储在Cookie中的业务。

约束条件

功能

约束说明

接入方式限制

  • 云模式-CNAME接入/独享模式接入:支持该功能。
  • 云模式-ELB接入不支持。Cookie写入在响应报文内,ELB接入下,WAF不能改写源站返回的原始响应包,无法追加Cookie安全标识。

其他

“对外协议”包含“HTTP”时,“Cookie安全属性”默认为关闭状态,不支持开启。

前提条件

添加防护网站且部署模式为“独享模式”“云模式-CNAME接入”

开启Cookie安全属性

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在左侧导航栏,单击“网站设置”
  5. “网站设置”页面,单击目标网站域名。
  6. “高级配置”栏中“Cookie安全属性”列单击,开启Cookie安全属性

    图2 开启Cookie安全属性

    完成以上配置后,在浏览器中访问防护域名后,打开开发者工具,查看Cookie的httponly和secure属性是否为true。

相关文档