我们的安全扫描显示了IIS中的这些漏洞。我更新了web.cfg并添加了这个部分和resetIIS,但是这个问题仍然存在。有什么办法解决这个问题吗?Cookie中缺少HttpOnly标志(http-cookie-http-only- Flag ) 3.2.2。SSL Cookie中缺少安全标志(http-cookie- Secure - Flag )
如果我没有传递cookie,但确实传递了HTTP_X_CSRFTOKEN,则它将失败。我正在查看django.middleware.csrf.CsrfViewMiddleware的代码,我看到在第161行中,它检查从cookie中获得它后是否有if csrf_token is None:直到之后,它才会检查csrfmiddlewaretoken参数和HTTP_X_CSRFTOKEN请求头。这看起来不正确,只有在检查了所有可能找到csrf_token值的地方之后,才应该检查缺少的all值。
当通过http进行通信时,在成功的身份验证之后不会删除OpenIdConnect当前和相关cookie,这将导致Nginx Request Header Or Cookie Too Large错误。通过每一次重新身份验证,将生成两个新的现在和相关cookie。如果通信是在http上进行的,这些cookie在成功身份验证后才会被删除,直到它们过期(15分钟)。如果用户在此期间继续在服务之间切换,则应用程序将因Nginx Request Header Or Cookie Too Large错误而失败<