我正在使用Django为我的雇主制作一个简单的网站,我不得不通过安全扫描运行代码来测试漏洞.其中一个问题是cookie漏洞,我可以找到要找到的文档.
登录我的网站时会出现cookie漏洞.
这是错误 - 扫描由OCIO-Internet-Scan运行
CVSS:5.0消息:csrftoken Cookie有问题
csrftoken =J4S6ZO7ssz4TUIlRNv9d95mCFomAbXO1; Host = [removed] Path = /
- Cookie可以缓存.
- Cookie是持久的.Cookie将于2017年6月7日星期三到期
持久会话处理cookie:当持久设置会话处理cookie时,即使用户终止会话,它也允许cookie有效.因此,攻击者可以使用浏览器存储为文本文件的会话cookie来访问受限信息.可缓存的cookie:可缓存的cookie可以缓存在代理或网关上.它可能导致提供过期或过时的cookie值.如果攻击者已经破坏了该代理或网关,他们也可以窃取此类cookie.
我的问题是,我究竟能在哪里更改csrftoken行为?我无法使用谷歌找到它,在修复此问题之前我无法启动该网站.我甚至能够改变csrf如何适应这些错误吗?