发表新帖
发表新帖

cookie中token缺失HttpOnly和Secure属性

Blade 未结
关注 举报
1 83
pensiero
pensiero 剑童 2025-05-29 18:07

一、该问题的重现步骤是什么?

  1. 客户安全扫描报告提出低危问题

    Cookie缺失HttpOnly标识【低危】

    Cookie缺失secure属性【低危】

    image.png


二、已经尝试的方法,对这两个cookie值无效

1、修改nginx配置

参考:    https://www.kancloud.cn/smallchill/blade-safety/3244465

            https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_flags

 

2、增加filter

参考:    https://www.kancloud.cn/smallchill/blade-safety/3244465

企业截图_17485126345775.png

3、修改配置

image.png

image.png

4、修改org.springblade.auth.config下的文件,加上addHeaderWriter

http.authorizeRequests().anyRequest().authenticated()
    .and()
    .httpBasic()
    .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
    .and()
    .csrf().disable() // 禁用CSRF保护
    .headers()
        .frameOptions()
        .and()
    .addHeaderWriter(new StaticHeadersWriter("Set-Cookie", "HttpOnly; Secure")); // 设置Cookie的HttpOnly和Secure属性




三、你正在使用的是什么产品,什么版本?在什么操作系统上?

版本:BladeX2.0.0(sorry老版本,我们接手就是这个版本)


操作系统

CentOS 7.9

RHEL 7.5



四、期望结果

能在这两个cookie上加上HttpOnly, Secure





1条回答
  • admin - BladeX作者
    2025-05-29 18:13

    找到前端的auth.js,把cookie的操作改成localStorage


    另外请给我们邮箱:bladejava@qq.com 发一个邮件提供授权公司名,登记为商业账号后方可进行商业版问题答疑。

    作者追问:2025-05-29 19:54

    邮件已发。

    还有更简单的修改方法吗?

    作者追问:2025-05-29 20:09

    另外就算前端转使用localstorage,cookie仍然存在,安全扫描仍然过不了吧。

    0 讨论(0)
代码语言
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 大模型开发平台 BladeX 物联网开发平台
热议问题
4.4.0版本如果在BladeUser类上增加新的属性 1
打包部署大屏运行会弹出验证码怎么屏蔽 1
Redis存储的信息不可读 1
通过A服务中放开权限的接口,间接开放system中的接口,浏览器使用get方式访问,提示post方式不支持 2
流程部署菜单报错问题 1
iot系统 创建数据源报错 1
inputTree组件卡 1
Avue-data数据大屏-未授权 1
服务器安装tdengine报错 1
物联网平台如何连接到我的自定义网关 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2025 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号