【发布时间】:2013-07-25 20:53:54
【问题描述】:
我们的一个客户对我们的应用程序进行了渗透测试,并报告在使用 cookie 时缺少标志。
在设置 cookie 时,我们应该始终使用 httpOnly 和 secure 标志。
经过一些测试,我意识到 cookie 在设置时实际上使用了这个标志,但有一个例外:注销。
在注销时,某些 cookie 设置了过期日期,以删除未使用的 cookie、secure 和 httpOnly。
这是否代表安全风险?设置过期 cookie 时设置这些标志有意义吗?
【问题讨论】: