cookie瞄准了父域
描述:cookie范围范围为父域
cookie的域属性确定哪些域可以访问cookie。浏览器将在请求中自动提交cookie,向内部域内域,这些域也将能够通过JavaScript访问cookie。如果将cookie瞄准到父域,则父域以及父域的任何其他子域都可以访问该cookie。如果cookie包含敏感数据(例如会话令牌),则可以通过居住在这些域中的较低或更安全的应用程序可以访问此数据,从而导致安全妥协。
修复:cookie范围瞄准了父域
默认情况下,cookie范围范围为发行域,并在IE/边缘范围为子域。如果您从Set-Cookie指令中删除显式域属性,则cookie将具有此默认范围,在大多数情况下,该范围是安全且合适的。如果您特别需要一个cookie可以通过父域访问,那么您应该彻底查看驻留在该域及其子域的应用程序的安全性,并确认您愿意信任支持这些应用程序的人员和系统。
脆弱性分类
典型的严重程度
低的
类型索引(HEX)
0x00500300
类型索引(十进制)
5243648