最近对我的网站进行的安全扫描表明该网站存在此问题:
Cookie Does Not Contain The "HTTPOnly" Attribute
我进行了研究,并找到了有关此修复程序的链接。例如:
https://www.owasp.org/index.php/HttpOnly
但是,所有链接都谈论通过代码或配置在服务器端进行一些工作。我在此网站上做Cookie的方式是借助此处找到的jquery-cookie通过Javascript添加/删除Cookie
https://github.com/carhartl/jquery-cookie
那么,如何解决此安全问题?
更新
感谢@cody将我指向另一篇文章。基本上没有客户端解决方案。然后是另一个问题:
我是否必须将与Cookie相关的Javascript代码迁移到服务器端代码(例如,对于我来说是C#)?我想答案是肯定的。我还猜测仅服务器端配置(在我的情况下为IIS)将无法工作。只是想在这里与专家核对。