我正在我的网站上运行Netsparker扫描,它引发了有关_fbp(Facebook)cookie的问题-不安全且未标记为HttpOnly。
Facebook提供的需要放在HEAD中的代码是:
<script>
!function (f, b, e, v, n, t, s) {
if (f.fbq) return; n = f.fbq = function () {
n.callMethod ?
n.callMethod.apply(n, arguments) : n.queue.push(arguments)
}; if (!f._fbq) f._fbq = n;
n.push = n; n.loaded = !0; n.version = '2.0'; n.queue = []; t = b.createElement(e); t.async = !0;
t.src = v; s = b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t, s)
}(window,
document, 'script', 'https://connect.facebook.net/en_US/fbevents.js');
fbq('init', 'XXXXXXXXXXXXX'); // Insert your pixel ID here.
fbq('track', 'PageView');
</script>
<noscript>
<img style="width: 1px; height: 1px; display: none"
src="https://www.facebook.com/tr?id=XXXXXXXXXX&ev=PageView&noscript=1" />
</noscript>
我希望这是安全的,并在可能的情况下将其标记为HttpOnly。
另外,正在验证WCAG2 AA站点的TotalValidator将NoScript标记中的Image标记为无效。
我们必须同时面对这两个问题吗?还是有办法解决这些问题?