当“对外协议”配置为HTTPS时,WAF支持开启“Cookie安全属性”,开启后会将Cookie的HttpOnly和Secure属性设置为true。
Cookie是后端Web Server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。
Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。
约束条件
“对外协议”包含“HTTP”时,“Cookie安全属性”默认为关闭状态,不支持开启。
操作步骤
- 登录管理控制台。
- 单击页面顶部的区域选择框,选择区域。
- 单击页面左上角的“服务列表”,选择“安全 > Web应用防火墙(独享版)”。
- 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。
- 在“高级配置”栏中“Cookie安全属性”列单击,开启Cookie安全属性。