首页 > 编程语言> > php-SSL Cookie中缺少安全标志(http-cookie-secure-flag)

php-SSL Cookie中缺少安全标志(http-cookie-secure-flag)

2019-11-19 14:30:11 作者：互联网

我需要面对我所遇到的问题的专家意见/反馈.我有我正在研究的Magento站点之一的PCI合规报告. (Magento 1.4.1.1).该报告是使用nexpose生成的

PCI报告指出以下内容.

Missing Secure Flag From SSL Cookie (http-cookie-secure-flag)

描述：

Secure属性告诉浏览器仅在通过安全通道(例如HTTPS)发送请求时才发送cookie.这将有助于防止Cookie传递到未加密的请求中.如果可以同时通过HTTP和HTTPS访问该应用程序,则可能以明文形式发送cookie.

报告提到了以下参考文献OWASP-2010：A3和OWASP-2013：A2

PCI合规性证据失败：

Cookie未标记为安全：

'frontend=2tsnh10jssv89cg0a7n93bf4ji1
cmkn0; path=/; httponly;
domain=www.example.com'
URL: https://www.example.com/

解决方案建议：

对于您网站中通过SSL发送的每个Cookie,请在Cookie中添加“安全”标志.

所以我的问题是,要完全符合PCI标准,是否必须应对这一高风险？

我在SO上搜索后发现,在SSL安全站点的Magento cookie中,“安全”标记在哪里？ .

1)您认为提供的解决方案足以克服该问题吗？

如发行说明中所述,我们有以下声明：

为店面添加了安全的cookie标志,以防止中间人攻击. “安全”和“不安全” Web配置选项没有任何变化.

如果我们从http切换到https连接,那时候没有安全标记.

解决方法:

新的PCI DSS要求将https cookie标记为安全.
因此,您的网站首先应使用SSL来存储敏感数据.当您使用SSL并向客户端发送cookie时,需要将cookie标记为Secure,这样就无法通过HTTP协议读取cookie.

对于您的问题的最后一部分,是的,拥有SSL,将cookie标记为Secure和HttpOnly应该可以满足PCI要求.

还有其他要求,例如,会话ID应该是唯一的,应该正确地无效(没有会话固定),没有通过URL的会话ID,等等.但是我认为您没有这些问题.

标签：pci-dss,cookies,magento,security,php
来源： https://codeday.me/bug/20191119/2036958.html