web安全问题扫描 ---加密会话(SSL)Cookie 中缺少 Secure 属性--node服务器解决方案-原来是Secure:true挖了坑

最新推荐文章于 2025-04-02 17:23:49 发布
最新推荐文章于 2025-04-02 17:23:49 发布
阅读量2.2k 收藏
点赞数
申请开通js
本文链接:https://blog.youkuaiyun.com/MrZachary_zlc/article/details/110496700
版权

cookie中的Secure值的作用 :
该属性的作用是是否允许以https协议的方式传递cookie;(开启与否通过观察前后端交互的响应头中是否包含此字段即可:set-cookie);

出现原因分析:

你的网站站点中使用到https协议,但是你的node服务器是通过session和cookie的方式跟踪服务端与客户端会话状态的,且没设置或设置了cookie的secure属性为值false,那么就抛出了这个问题;

强行解决带来的问题:
把session中配置的secure属性值直接改成true,不做其他处理,会出现会话错误的问题,导致系统无法登陆;

解决:

我是通过我的node服务器解决的该问题:
var app = express()
var sess = {
secret: ‘keyboard cat’,
cookie: {}
}

if (app.get(‘env’) === ‘production’) {
app.set(‘trust proxy’, 1) // trust first proxy !!!官方要求添加这个字段后才能设置.cookie.secure = true
sess.cookie.secure = true // serve secure cookies
}

app.use(session(sess))

参考官方文档:https://www.npmjs.com/package/express-session

Zachary_zlc
关注
【基于Nginx配置https、wss最新教程】基于反向代理服务器部署SSL证书:解决字符[_]在域名中永远无效的问题(DV DigiCert RSA install-pfx-certificate)
专注于计算机研发知识和资讯分享
12-03 1073
小程序前端通常无法直接使用HTTP Session来处理登录状态,因为小程序的跨域通信是由微信后台代理的,而不是通过普通的CORS(跨源资源共享)机制。这意味着服务器端的接口不能依赖于浏览器发送的Cookie来维护会话状态。小程序服务端接口的域名配置只支持 https (wx.request、wx.uploadFile、wx.downloadFile) 和 wss (wx.connectSocket) 协议;背景:提供给小程序访问的接口,需要配置SSL。域名必须经过 ICP 备案;
Colyseus:Colyseus安全性与数据保护_2024-07-25_07-58-16.Tex
02-11 864
Colyseus是一个用于构建多人实时游戏的JavaScript/TypeScript服务器。它提供了一套强大的工具和框架,帮助开发者在构建游戏时处理网络通信、状态同步和安全问题
加密会话SSLCookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话SSLCookie缺少Secure属性问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
Appscan漏洞 之 加密会话SSLCookie缺少 Secure 属性
arkqyo2595的博客
07-26 969
  近期Appscan扫描出漏洞加密会话SSLCookie缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理   任何以明文形式发送到服务器cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议   给coo...
cookies secure漏洞
最新发布
itScholar001的博客
04-02 337
博主解决这个问题 发现这个acw_tc是阿里云添加的 不是应用自己本身添加的cookie,所以需要在阿里云开启secure。原因在于cookie没有设置secure属性,导致cookie可以被窃取。安全扫描的时候出现这个漏洞-Cookie Secure 缺失漏洞。也可以通过header设置 通过在响应头设置set-Cookie。如果有其他cookie需要设置secure 可以参考这个。添加过滤器,将所有的cookie都设置为secure。有这个漏洞 你的cookie则可以被人截取 不安全
加密会话SSLCookie缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookiecookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
IBM AppScan 安全扫描加密会话SSLCookie缺少 Secure 属性 处理办法 ...
weixin_30344795的博客
06-28 863
问题描述: 原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:...
安全问题加密会话SSLCookie缺少 Secure 属性
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
A 'set-cookie' header doesn't have the 'secure' directive.
03-09
### 解决'Set-Cookie' Header Missing 'Secure' Directive 当设置Cookie时,确保安全性是一个重要的考虑因素。为了防止通过不安全连接传输敏感数据,在设置`Set-Cookie`头部时应始终包含`Secure`标志[^1]。 对于...
【数据窃取防护】:利用HttpOnly和Secure属性确保Cookie安全的终极方案
[cookie设置httpOnly和secure属性实现及问题](http://www.kpbiz.com.au/images/content-securefiletransfer.jpg) # 摘要 随着互联网技术的飞速发展,HTTP Cookie作为维持用户状态的重要机制,其安全问题日益凸显...
【网络安全实战手册】:5大策略深度应用Cookie的HttpOnly与Secure属性
本文探讨了网络安全中的Cookie属性,特别是HttpOnly和Secure属性的重要性及其在防止XSS攻击和保障数据传输安全性方面的实践意义。文中详细阐述了这些属性的作用、限制以及如何配置它们来提高网站安全。通过案例研究...
Appscan漏洞之加密会话SSLCookie缺少Secure属性
学者-微风
05-14 6361
近期 Appscan扫描出漏洞 加密会话SSLCookie缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)
会话Cookie未设置Secure属性漏洞
my的博客
01-15 6340
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie中设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
加密会话(ssl)cookie缺少 secure 属性_HTTP、会话管理、同源策略
weixin_32263265的博客
01-28 1029
最近在看《web应用安全权威指南》,将重点整理记录下备忘。强烈推荐~网上有pdf版Basic认证,该认证是无状态的,每次请求进行操作都会提供用户名和密码Cookie会话管理,常见需求,比如用户登录后、购物网站购物车都是需要保持客户端的状态的。记忆认证状态的功能叫做会话管理,为了实现会话管理,Cookie出现了,Cookie相当服务器下达命令给浏览器,通过Set-Cookie响应头信息,让浏览器记...
AppScan扫描漏洞(中等):加密会话SSLCookie缺少Secure属性
weixin_42249908的博客
05-31 2657
AppScan扫描漏洞(中等):加密会话SSLCookie缺少Secure属性
IBM AppScan 安全扫描加密会话SSLCookie缺少 Secure 属性 处理办法
weixin_30500473的博客
03-03 473
问题描述: 原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加: <system.web><httpCookies...
加密会话(SSL) Cookie缺少Secure属性
weixin_33774308的博客
05-18 972
在项目使用appscan扫描的时候出现:处理方法:打开项目的web.config文件,在<system.web>下面增加<httpCookies httpOnlyCookies="true"requireSSL="true"/>注意,加入参数之后,如果继续使用http来访问的时候,如登录需要使用cookie,则这个时候是不能正常读到cookie的...
java cookie secure_加密会话SSLCookie缺少 Secure 属性
weixin_33238272的博客
02-23 3370
加密会话(SSL)Cookie缺少 Secure 属性AppScan 发现加密会话(SSL)使用的是没有“secure属性cookie。因为不想修改后端代码,因此希望能从nginx上将其修复。没修复之前没修复之前,这个cookie是没有secure参数的,如上图,上面的那些secure则是我在添加了一个 add_header Set-CookieSecure”; 获得的,虽然网上大部...
加密会话(ssl)cookie缺少 secure 属性_如何在Spring Boot中使用Cookie?
weixin_34413579的博客
01-22 2361
HTTP Cookie(也称为 Web cookie或 浏览器cookie)是服务器在用户浏览器中存储的一小段信息。服务器在返回浏览器发出的请求的响应时设置cookie。浏览器存储cookie并将其与下一个请求一起发送回同一服务器Cookie通常用于会话管理,用户跟踪和存储用户首选项。Cookie可帮助服务器在多个请求中记住客户端。如果没有cookie服务器会将每个请求视为新客户端。在本文中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值