是否可以将Secure和HttpOnly标记设置为(Analytics) s_cc和(Target) mbox Cookie?
此 安全 和 HttpOnly 无法对(Analytics) s_cc和(Target) mbox Cookie设置标记,因为这样会破坏Cookie的功能。
描述 description
环境
- Customer Journey Analytics
- Analytics
- Target
问题/症状
客户端安全团队发现,“s_cc”和mbox Cookie缺少HttpOnly和Secure Flags,这可能会导致各种攻击。
作为 Secureflag for cookie将只允许通过secure channel的 HttpOnly 标记将保护Cookie免受客户端脚本的攻击,如果未设置这些标记,则使Cookie易受攻击。 此外,由于Mbox Cookie是永久性的,因此即使在关闭浏览器后,它也会显示Cookie信息。 利用这些数据,攻击者可以执行恶意活动。
是否可以将Secureflag和HttpOnly标志设置为s_cc和mbox Cookie?
解决方法 resolution
无法在这些Cookie上设置“Secure”和“HttpOnly”标记,因为它们会破坏Cookie功能。
虽然设置这些标记对于包含敏感数据或用作身份验证Cookie以阻止劫持的Cookie是必要和重要的,但s_cc和mbox Cookie不包含敏感信息。 它们需要可由JavaScript访问,因为这些产品需要访问Cookie中存储的数据,并将其发送到数据收集域进行分析和报告。
为消除对“安全”标记未设置的任何担忧,建议在数据收集中使用第一方SSL,并在您的域上支持HSTS标头,以确保所有流量都通过HTTPS(包括这些Cookie)。
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f