我正在使用 owasp zap 来检查我的 rails (v. 5.0.2) 应用程序安全性。有很多关于 cookie 的问题,例如“Cookie 没有 HttpOnly 标志”、“没有 SameSite 属性的 Cookie”、“没有安全标志的 Cookie”。我借助此代码(取自 rails 存储库中的建议之一)对此进行了猴子补丁
module CookieJarExtensions
def handle_options(options)
super
options[:httponly] = true
options[:same_site] = :lax
options[:secure] = true
end
end
ActionDispatch::Cookies::CookieJar.class_eval do
prepend CookieJarExtensions
end
当我在浏览器中查看它时它可以工作(至少 chrome cookie 说'可访问脚本否(HttpOnly)')但 owasp 仍然说它可用于 javascript。是的,我很确定这是相同的饼干。任何想法为什么会发生?