更新时间:2025-08-18 GMT+08:00
开启Cookie安全属性
当“对外协议”配置为HTTPS时,WAF支持开启“Cookie安全属性”,开启后会将Cookie的HttpOnly和Secure属性设置为true。
Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。
Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。
前提条件
已添加防护网站且部署模式为“独享模式”或“云模式-CNAME接入”。
约束条件
- 仅云模式-CNAME接入或独享模式接入支持该功能,云模式-ELB接入不支持。
- “对外协议”包含“HTTP”时,“Cookie安全属性”默认为关闭状态,不支持开启。
开启Cookie安全属性
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,单击“网站设置”。
- 在“网站设置”页面,单击目标网站域名。
- 在“高级配置”栏中“Cookie安全属性”列单击
,开启Cookie安全属性
图1 开启Cookie安全属性
完成以上配置后,在浏览器中输入防护域名后,打开开发者工具,查看Cookie的httponly和secure属性是否为true。
