是否可以将Secure和HttpOnly标记设置为(Analytics) s_cc和(Target) mbox Cookie?

安全HttpOnly ​无法对(Analytics) s_cc和(Target) mbox Cookie设置标记,因为这样会破坏Cookie的功能。

描述 description

环境

  • Customer Journey Analytics
  • Analytics
  • Target

问题/症状

客户端安全团队发现,“s_cc”和mbox Cookie缺少HttpOnly和Secure Flags,这可能会导致各种攻击。

作为 Secureflag for cookie将只允许通过secure channel的  HttpOnly 标记将保护Cookie免受客户端脚本的攻击,如果未设置这些标记,则使Cookie易受攻击。 此外,由于Mbox Cookie是永久性的,因此即使在关闭浏览器后,它也会显示Cookie信息。 利用这些数据,攻击者可以执行恶意活动。

是否可以将Secureflag和HttpOnly标志设置为s_cc和mbox Cookie?

解决方法 resolution

无法在这些Cookie上设置“Secure”和“HttpOnly”标记,因为它们会破坏Cookie功能。

虽然设置这些标记对于包含敏感数据或用作身份验证Cookie以阻止劫持的Cookie是必要和重要的,但s_cc和mbox Cookie不包含敏感信息。 它们需要可由JavaScript访问,因为这些产品需要访问Cookie中存储的数据,并将其发送到数据收集域进行分析和报告。

为消除对“安全”标记未设置的任何担忧,建议在数据收集中使用第一方SSL,并在您的域上支持HSTS标头,以确保所有流量都通过HTTPS(包括这些Cookie)。

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f