Security 向过期的cookie添加安全和httpOnly标志有意义吗？

我们的一位客户对我们的应用程序进行了渗透测试，并报告在使用cookie时丢失了标志

设置cookie时，应始终使用

httpOnly

和

secure

标志

经过一些测试，我意识到cookies在设置时实际上使用了这个标志，但有一个例外：注销

当注销时，一些cookie被设置为过期日期，至于删除该

cookie

，

secure

和

httpOnly

---

这是否代表安全风险？设置过期cookie时设置这些标志有意义吗？

否，假设应用程序中没有漏洞，则该标志在注销时并不重要

但是，您应该按照笔测试仪所说的去做，因为如果没有设置标志，您的应用程序中可能存在其他安全漏洞，可以使用此cookie进行攻击。换句话说，如果你的应用程序在其他方面是安全的，那么cookie就不重要了，但是它可能确实重要，因为你的应用程序是安全的，没有任何保证

一个例子是一个没有正确终止或关闭会话的应用程序。注销cookie被发送到客户端而不带标志，因此会以某种方式受到损害，如MitM或有线监听。攻击者将cookie以及任何其他旨在利用漏洞的任意数据提交回应用程序，从而触发漏洞并通过恢复前一个或接收新会话（如著名的空会话攻击）获得实时会话

---

这是一个典型的例子，一个安全漏洞本身是无用的，但它向一个链添加了一个链接，可以用来达成妥协。

你的前两段说的是两件不同的事情？在某些上下文中，“不安全”的cookie是jsessionidsso（Tomcat中的单点登录阀）。当注销并在服务器端执行session.invalidate（）时，它被设置为过期。@PeeHaa我试图澄清一下。我想说的是，如果应用程序中没有其他漏洞（这不太可能），那么就不需要标记这个cookie。但是，可能还有其他漏洞，因此最好不必要地标记cookie，而不是在链中给攻击者一个额外的链接。@Tinchogob现在可能是安全的，但将来可能有人会打开一个新漏洞或更改造成漏洞的内容。这就是为什么钢笔测试员推荐这个标志。他们还必须推荐一些东西来证明你刚刚为测试支付的5位数是合理的：-）我不明白一些事情：通过设计使cookie过期并不会传递cookie的值。例如

设置Cookie:mycokie=。；path=/mypath；expires=1970年1月1日星期四00:00:00 GMT。没有拦截的价值，因此没有被破坏的价值。