我们已经使用 Java 和 GWT 开发了一个 Web 应用程序,现在我们正在修复以下问题:
安全问题:
- X 框架选项:
- X-XSS 保护:
Cookie:
- 仅 Http 且安全
从上述3个问题中,我们可以解决前2个问题,但无法解决第三个问题,因为我们正在客户端访问由GWT(javascript)开发的服务器创建的cookie。所以我们认为,它不能为我们的应用程序修复,或者可以被忽略,因为我们修复了“X-Frame-Options”,它不允许将 JavaScript 注入(inject)到我们的网站中。
请就我们上述问题给我建议。
最佳答案
HttpOnly and Secure
您可以设置 secure flag cookie,您仍然可以通过 JavaScript 访问它们。请注意,需要通过 https 访问使用 GWT 的整个应用程序才能正常工作。
如果您的应用程序要求所有 cookie 均通过 JavaScript 读取,则您无法设置 http only旗帜。请注意,这仅对 session 或身份验证 cookie 很重要 - 如果可以将它们设置为仅 http 并让其他 cookie 不带该标志,那么这就是要走的路。
请注意,X-Frame-Options 不会提供比正常情况更多的保护来防止 JavaScript 注入(inject)您的网站。 Same Origin Policy将此作为标准。 X-Frame-Options 只是阻止您的网站加载到框架集或 IFrame 中以缓解 clickjacking .
关于java - 如何修复 GWT 中的 "Cookie set without httpOnly"安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31871821/