指摘事項 #166
匿名ユーザー が4年以上前に更新
危険度
低
解説
HttpOnly 属性およびSecure 属性が設定されていないCookie 変数が検出されました。HttpOnly 変数が検出されました。
HttpOnly 属性が設定されている場合、JavaScript によるCookie 操作が禁止されます。これにより、第三者によって悪意のあるJavaScript 操作が禁止されます。
これにより、第三者によって悪意のあるJavaScript が挿入された場合にもCookie 値の改ざんや漏えいを防ぐことが可能です。Secure 値の改ざんや漏えい
を防ぐことが可能です。
Secure 属性が設定されている場合、非暗号化通信(http://~)ではCookie 値が送信されず暗号化通信(https://~)でのみCookie 値が送信されるため、通信を盗聴する第三者へのCookie 値が送信されず暗号化通信
(https://~)でのみCookie 値が送信されるため、
通信を盗聴する第三者へのCookie 値の漏えいを防ぐことが可能です。
検出箇所
・HttpOnly 属性
ホスト
c.ecomic-app.com
Cookie 変数
XSRF-TOKEN
・Secure 属性
ホスト
c.ecomic-app.com
Cookie 変数
XSRF-TOKEN
ec_club_session
低
解説
HttpOnly 属性およびSecure 属性が設定されていないCookie 変数が検出されました。HttpOnly 変数が検出されました。
HttpOnly 属性が設定されている場合、JavaScript によるCookie 操作が禁止されます。これにより、第三者によって悪意のあるJavaScript 操作が禁止されます。
これにより、第三者によって悪意のあるJavaScript が挿入された場合にもCookie 値の改ざんや漏えいを防ぐことが可能です。Secure 値の改ざんや漏えい
を防ぐことが可能です。
Secure 属性が設定されている場合、非暗号化通信(http://~)ではCookie 値が送信されず暗号化通信(https://~)でのみCookie 値が送信されるため、通信を盗聴する第三者へのCookie 値が送信されず暗号化通信
(https://~)でのみCookie 値が送信されるため、
通信を盗聴する第三者へのCookie 値の漏えいを防ぐことが可能です。
検出箇所
・HttpOnly 属性
ホスト
c.ecomic-app.com
Cookie 変数
XSRF-TOKEN
・Secure 属性
ホスト
c.ecomic-app.com
Cookie 変数
XSRF-TOKEN
ec_club_session