是否可能將Secure和HttpOnly標幟設為(Analytics) s_cc和(Target) mbox Cookie？

無法在(Analytics) s_cc和(Target) mbox Cookie上設定​ Secure ​和​ HttpOnly ​旗標，因為這會破壞Cookie的功能。

說明 description

環境

問題/症狀

使用者端安全性團隊發現"s_cc"和mbox Cookie缺少HttpOnly和Secure Flags，因此可能導致各種攻擊。

由於Cookie的 Secureflag 將只允許透過Secure Channel使用Cookie，而 HttpOnly 旗標會保護Cookie不受使用者端指令碼攻擊，若未設定這些旗標，將使Cookie容易受到攻擊。 此外，由於Mbox Cookie是永久性的，因此即使關閉瀏覽器後，仍會顯示Cookie資訊。 攻擊者可利用這些資料從事惡意活動。

是否可以將Secureflag和HttpOnly標幟設為s_cc和mbox Cookie？

解決方法 resolution

無法在這些Cookie上設定「Secure」和「HttpOnly」標幟，因為它們會破壞Cookie功能。

雖然對包含敏感資料或做為驗證Cookie以防護其受到劫持的Cookie而言，設定這些標幟是必要且重要的，但s_cc和mbox Cookie不包含敏感資訊。 這些資料必須可由JavaScript存取，因為這些產品會存取Cookie中儲存的資料，並將其傳送至資料收集網域進行分析和報告。

建議您使用資料收集上的第一方SSL，並在您的網域上支援HSTS標題，以便確保所有流量都透過HTTPS （包括這些Cookie），藉此減少未設定「Secure」標幟所造成的疑慮。