代码之家  ›  专栏  ›  技术社区  ›  agabrys

是否应将打算删除的空Cookie标记为安全的?

sonarqube cookies security java
  •  1
  • agabrys  · 技术社区  · 7 年前

    SonarQube发现问题( Cookies should be "secure" )在以下代码中: 

    public static void eraseSamlCookie(final HttpServletResponse response) {
    final String cookieName = Config.getParameter(Constants.SSO_COOKIE_NAME);
    if (cookieName != null) {
        final Cookie cookie = new Cookie(cookieName, ""); 
        cookie.setMaxAge(0);
        cookie.setPath("/");
        cookie.setHttpOnly(true);
        response.addCookie(cookie);
    }
}

    创建cookie只是为了删除客户端上具有相同名称的cookie( max-age=0 ).

    是否有任何合理的理由将其标记为安全?规则是否应忽略值为空且最大年龄设置为0的Cookie?

    squid:S2092 description

    1 回复  |  直到 5 年前
        1
  •  0
  •   agabrys    5 年前

    规则描述被扩展了,现在我看到它有意义了。为什么?这一部分很重要:

    当cookie受到安全属性设置为true的保护时,浏览器不会通过未加密的HTTP请求发送cookie,因此在中间人攻击期间,未经授权的人无法观察到cookie。默认情况下,安全标志设置为false,因此,如果执行了参与攻击的人员,cookie可能会被盗。

    在我的情况下,创建cookie的唯一原因是在客户端用相同的名称覆盖cookie。当cookie不安全时,有人可能会更改其内容,因此可以为其提供不同的内容,而不是在客户端清理cookie。这意味着 secure 很有道理。

    推荐文章
    Pradeep  ·  当Azure DevOps构建成功或失败时,如何向开发人员发送SonarQube报告
    3 年前
    Arghya Saha  ·  我应该如何编辑我的pom。将我的maven项目导入sonarqube的xml文件?
    3 年前
    Matthieu Brucher  ·  Sonarqube如何理解分支覆盖率
    7 年前
    kalyan  ·  sonarqube错误java内存不足
    7 年前
    MelleD  ·  缺少测井参数声纳规则
    7 年前
    TafT  ·  如何设置SonarQube cfamil。gcov是否正确?
    7 年前
    Igor Deruga  ·  Sonar maven插件在类路径中看不到父类
    7 年前
    CR Sardar  ·  SonarQube、单元测试覆盖率和集成测试覆盖率分别为
    7 年前
    user3847894  ·  用于sonarqube配置的Jenkins groovy初始化脚本
    7 年前
    DC.Skells  ·  SonarQube-Kubernetes-LDAP-不使用sonar。属性文件?
    7 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号