C# CheckMarx中等严重性警告-启动时仅HttpOnly cookie_C#_Asp.net Core_Secure Coding_Checkmarx

C# CheckMarx中等严重性警告-启动时仅HttpOnly cookie

c# asp.net-core

C# CheckMarx中等严重性警告-启动时仅HttpOnly cookie,c#,asp.net-core,secure-coding,checkmarx,C#,Asp.net Core,Secure Coding,Checkmarx,CheckMarx正在标记一个错误，在我看来这是一个假阳性。我们的应用程序是用C#编写的，使用ASP.NET内核错误是： web应用程序的Startup方法在Startup.cs的第22行创建cookie启动，并在响应中返回它。但是，应用程序没有配置为自动设置具有“httpOnly”属性的cookie，代码也没有显式地将其添加到cookie中这是第22行： public class Startup 我们确实正确设置了cookie策略： app.UseCookiePolicy(new Coo

CheckMarx正在标记一个错误，在我看来这是一个假阳性。我们的应用程序是用C#编写的，使用ASP.NET内核

错误是：

web应用程序的Startup方法在Startup.cs的第22行创建cookie启动，并在响应中返回它。但是，应用程序没有配置为自动设置具有“httpOnly”属性的cookie，代码也没有显式地将其添加到cookie中

这是第22行：

public class Startup

我们确实正确设置了cookie策略：

app.UseCookiePolicy(new CookiePolicyOptions
{
    HttpOnly = Microsoft.AspNetCore.CookiePolicy.HttpOnlyPolicy.Always
});

但CheckMarx仍在警告这一点。我不认为我的Startup类创建了一个名为Startup的cookie

我在这里发现了一个类似的帖子（没有回复）

这是假阳性吗？如何让CheckMarx停止标记它？

删除这些警告的唯一方法是将Startup类重命名为其他类，例如Startup123

除此之外，没有任何东西可以删除警告，我认为这肯定是误报。

您使用的是哪个Checkmarx版本？我的猜测是，因为ASP.NET Core是新的，所以您没有得到更新的结果。@sashoalm您使用的是什么版本的ASP.NET Core？Checkmarx确实承认cookie策略，它不仅仅来自您拥有的中间件。@baruchiro，它是V9.2.0HF4。@RomanCanlas，它是.NETCore3.1