我扫描我的应用程序使用PCI扫描仪从克隆系统。它显示1个漏洞->缺少httpOnly Cookie属性。
这是报告https://i.stack.imgur.com/00tc3.jpg
这是我的session.php
<?phpuse Illuminate\Support\Str;return ['driver' => env('SESSION_DRIVER', 'file'),'lifetime' => env('SESSION_LIFETIME', 120),'expire_on_close' => false,'encrypt' => false,'files' => storage_path('framework/sessions'),'connection' => env('SESSION_CONNECTION', null),'table' => 'sessions','store' => env('SESSION_STORE', null),'lottery' => [2, 100],'cookie' => env('SESSION_COOKIE',Str::slug(env('APP_NAME', 'laravel'), '_').'_session'),'path' => '/','domain' => env('SESSION_DOMAIN', null),'secure' => env('SESSION_SECURE_COOKIE', true),'http_only' => true,'same_site' => 'lax',];
我还在.env中添加了一些代码
SESSION_SECURE_COOKIE=trueSESSION_HTTP_ONLY=true
但没有运气,扫描仪仍然说,我的应用程序**缺少httpOnly Cookie属性。**属性。有谁能教我怎么修这个吗?谢谢你!
1条答案
按热度按时间twh00eeo1#
我也有同样的疑问。因此,我在
laravel/framework存储库中创建了一个讨论。Laravel维护者
valorin的回答对你的问题很有用:自动安全扫描器不知道这样的实现细节,所以尽管它们在寻找容易实现的目标方面工作得很好,但它们也会发现看起来像安全风险但实际上不是的东西。我是一个渗透测试人员,所以我总是在扫描器中看到这个弹出窗口,我建议我的客户忽略它。