Java Netsparker工具显示cookie未标记为HttpOnly
我已经下载了Netsparker的试用版,并用它扫描了我的Java应用程序 正如许多网站建议的那样,我在web.xml中将Java Netsparker工具显示cookie未标记为HttpOnly,java,cookies,httponly,Java,Cookies,Httponly,我已经下载了Netsparker的试用版,并用它扫描了我的Java应用程序 正如许多网站建议的那样,我在web.xml中将HTTPOnly设置为true,从而创建了一个安全的cookie 当我用Firebug检查应用程序时,它显示HttpOnly标志,但在Netsparker的测试报告中,cookie没有标记为HttpOnly 如何解决这个问题?为什么Netsparker将此报告为漏洞并告诉我需要修复它?还有其他方法测试它吗?首先要注意的是,Secure和HTTPOnly是cookie的两个不同
HTTPOnly
设置为true
,从而创建了一个安全的cookie
当我用Firebug检查应用程序时,它显示HttpOnly标志,但在Netsparker的测试报告中,cookie没有标记为HttpOnly
如何解决这个问题?为什么Netsparker将此报告为漏洞并告诉我需要修复它?还有其他方法测试它吗?首先要注意的是,Secure和HTTPOnly是cookie的两个不同属性。
除此之外,您的应用程序上可能有多个cookie。确保为所有Cookie设置了HTTPOnly标志