Во время сканирования уязвимостей Qualys на разрабатываемом веб-сайте я обнаружил следующую уязвимость:
Cookie Does Not Contain The "HTTPOnly" Attribute
Cookie Does Not Contain The "secure" Attribute
Мое приложение работает в ExpressJS, NodeJS и nginx веб сервер. Я использую экспресс-сессию и токен csurf. Я уже установил оба HTTPOnly и secure флаг true. Конфигурация следующая:
app.use(bodyParser.json({limit: '50mb'}));
app.use(bodyParser.urlencoded({extended: false, limit: '50mb'}));
app.use(cookieParser());
app.use(express.static(path.join(__dirname, "/../public")));
app.enable("trust proxy");
app.use(expressSession({
store: new MongoStore({
url: `session_db`
}),
secret: `session_secret`,
resave: true,
saveUninitialized: true,
proxy: true,
rolling: true,
cookie: {
secure: true,
httpOnly: false,
maxAge: (72 * 60 * 60 * 1000)
},
unset: "destroy"
}));
app.use(passport.initialize());
app.use(passport.session());
app.use(flash());
app.use("/api", api);
app.use( csrf({
cookie: {
secure: true,
httpOnly: true
}
}));//csrf
И моя конфигурация nginx:
location / {
proxy_pass http://nodejs;
proxy_set_header Host $host ;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_cookie_path / "/; HTTPOnly; Secure";
}
HTTPOnly и secure оба флажка отмечены в разделе cookie браузера. но когда я его просматриваю, он показывает мне вышеупомянутые уязвимости.
Кто-нибудь может мне помочь?
Жду вашей помощи друзья