Recibí este siguiente error cuando mi sitio web estaba siendo auditado. Desarrollé mi sitio web usando jsp, servlets, clases de Java.Agregue el atributo 'HttpOnly' a todas las cookies de sesión
Missing HttpOnly atributo de cookie de sesión
riesgos de seguridad
Es posible robar o manipular cookies de sesión y los clientes, que pueden ser utilizado para hacerse pasar por un usuario legítimo, lo que permite el hacker para ver o modificar registros de usuario, y para realizar transacciones como ese usuario
Causas:
La aplicación web conjuntos de cookies de sesión sin los HTTPOnly atributo
tareas de remediación:
Añadir el atributo 'HttpOnly' a todas las cookies de sesión
Paso la ficha de seguridad de Java como parámetro oculto al hacer clic en el botón Enviar. ¿Cómo puedo agregar este atributo HttpOnly en ese token?
bien, pero ¿qué es este servidor y cliente? ¿puede por favor elaborar un poco más – Tom
@tom - han ampliado la respuesta un poco más. Probablemente valga la pena seguir los enlaces en la respuesta para obtener más detalles. –
sí, gracias, solo una duda más: si voy a hacer alguna modificación dentro de tomcat, ¿tendré que hacer alguna modificación en el lado del cliente también para el atributo httpOnly? – Tom