Мне было поручено реализовать вышеупомянутые элементы управления на нашем Apache веб-сервере после того, как сканирование уязвимостей обнаружило, что мы не используем SameSite.
В верхней части моего файла httpd.conf, который я вставил эта строка:
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure;SameSite=Strict
Теперь я вполне уверен, что это правильная реализация, но я изо всех сил пытаюсь проверить свои результаты.
При использовании инструментов разработчика Firefox мне нужно искать подтверждение в ответе HTTP для моего веб-сайта или на вкладке "Хранилище" в разделе "Файлы cookie"?
Когда я смотрю в хранилище -> Файлы cookie Я вижу, что JSESSIONID cook ie показывает HTTPOnly, Secure и SameSite Cookie = строгий, но есть ряд файлов cookie, которые не являются безопасными.
Скриншот файлов cookie
Когда мы повторно запустили сканер уязвимостей, обнаружилась та же самая находка, указывающая на все файлы cookie (кроме JSESSIONID) как на не реализованные SameSite cook ie.
Есть ли способ для меня, чтобы убедиться, что HTTPOnly, Secure и SameSite применяются ко всем файлам cookie?
И правильно ли я проверяю, используя вкладку Хранилище -> Файлы cookie, или я вижу информацию о безопасности cook ie в моем ответе HTTP заголовки?
Я не могу использовать онлайн-инструмент, такой как Проверить заголовки ответа HTTP , чтобы проверить мои заголовки безопасности, потому что наш веб-сервер находится в более низкой частной среде.