最近,我们在其中一个应用程序上运行了扫描,并返回了以下安全威胁:
1.Cookies NotMarked As Secure :: Cookie没有安全标志设置 2.Cookie没有HttpOnly标志设置:: Cookiewithout HttpOnly标志设置
在我们的apache httpd.conf中修复此问题后,我们的登录不再有效。
Header set Set-Cookie HttpOnly
Header set Set-Cookie Secure
现在,每次用户重新加载网站时,会话ID都会发生变化。 用户可以登录,但在此站点上进行任何导航后,用户因会话ID不同而退出。
我们如何解决这个问题?