Cookie не содержит атрибутов "secure" и "HTTPOnly"

Question

Cookie не содержит атрибутов "secure" и "HTTPOnly"

При выполнении сканирования уязвимостей Qualys на разрабатываемом веб-сайте я обнаружил следующую уязвимость:

Cookie Does Not Contain The "HTTPOnly" Attribute

Cookie Does Not Contain The "secure" Attribute

Мое приложение работает в ExpressJS, NodeJS а также nginx веб сервер. я использую express-session а также csurf маркер. Я уже установил оба HTTPOnly а также secure флаг true, Конфигурация следующая:

app.use(bodyParser.json({limit: '50mb'}));
app.use(bodyParser.urlencoded({extended: false, limit: '50mb'}));
app.use(cookieParser());

app.use(express.static(path.join(__dirname, "/../public")));

app.enable("trust proxy");
app.use(expressSession({
    store: new MongoStore({
        url: `session_db`
    }),
    secret: `session_secret`,
    resave: true,
    saveUninitialized: true,
    proxy: true,
    rolling: true,
    cookie: {
        secure: true,
        httpOnly: false,
        maxAge: (72 * 60 * 60 * 1000)
    },
    unset: "destroy"
}));

app.use(passport.initialize());
app.use(passport.session());

app.use(flash());

app.use("/api", api);

app.use( csrf({
    cookie: {
        secure: true,
        httpOnly: true
    }
}));//csrf

И моя конфигурация nginx:

 location / {
                proxy_pass http://nodejs;
                proxy_set_header Host $host ;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto https;
                proxy_cookie_path / "/; HTTPOnly; Secure";
        }

HTTPOnly а также secure оба флажка отмечены в разделе куки браузера. но когда я сканирую его, он показывает мне вышеупомянутые уязвимости.

Кто-нибудь может мне помочь?

Жду вашей помощи друзья

5

javascript node.js express nginx qualys

Источник

user3471246 18 июл '18 в 07:17

0 ответов

Другие вопросы по тегам javascript node.js express nginx qualys