SameSite フラグが検出されない Cookie

low Web App Scanning プラグイン ID 115540

Language:

概要

説明

SameSite は、クロスサイトリクエストと一緒に送信してクロスサイトリクエストフォージェリ (CSRF) 攻撃を防ぐことができる Cookie を Cookie として設定して Web ブラウザに指示できる属性です。

属性には、3 つの値を使用できます。

- Strict : Cookie はファーストパーティのコンテキストでのみ送信されるため、サードパーティの Web サイトで開始されたクロスサイトリクエストに含められないようにすることができます。

- Lax: Cookie は、サードパーティ Web サイトのトップレベルナビゲーションによって開始された GET クロスサイトリクエストでの送信が許可されています。たとえば、外部 Web サイトのハイパーテキストリンクをたどると、リクエストに Cookie が含められます。

- なし: Cookie は、任意のコンテキストでブラウザによって送信されるように明示的に設定されます。

スキャナーが、アプリケーションによって設定された Cookie に SameSite 属性がないこと、または構成ミスを特定しました。

ソリューション

サイト間のコンテキストで Cookie を処理するときの Web ブラウザのデフォルトの動作が異なる場合があるため、このコンテキストで Cookie を送信するという最終決定を予測できません。開発者が期待する結果を強制するには、すべての Cookie で SameSite 属性を設定する必要があります。「None」属性値を使用する場合は、Cookie にも「Secure」フラグが設定されていることを確認してください。