当前位置: 首页 > 知识库问答 >
问题:

Sonarqube-cookie未通过SSL(CWE 614)发送(仅限于HTTP)

尉迟鸿熙
2023-03-14
Cookie Security: Cookie Not Sent Over SSL (4720)
CWE: 614

GET /sonarqube/ HTTP/1.1
Host: sonar
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
X-WIPP: AscVersion=16.20.608.0
X-Scan-Memo: Category="Crawl.EventMacro.Startup";
SID="F0A2B8712E7F609FAA4899C"; SessionType="StartMacro"; CrawlType="None";
X-RequestManager-Memo: sid="13442"; smi="0"; Category="EventMacro.Login";
MacroName="sonarqube-priv-loginmacro";
X-Request-Memo: ID="0e42a-fcf-4b6-a8f-0fbceb4c"; ThreadId="169";
Pragma: no-cache
Cookie: CustomCookie=WebInspect0
Response:
Report Date: 09/3/2017 38
HTTP/1.1 302 Found
Cache-Control: no-cache
Content-Type: text/html;charset=utf-8
Location: https://sonar/sonarqube/sessions/new
Server: Microsoft-IIS/10.0
Set-Cookie: JSESSIONID=XXX; Path=/sonarqube/; HttpOnly
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1...TRUNCATED...

您认为这是由于IIS配置,还是这只是Sonarqube应用程序中的标准配置?
我不确定如何解释这里的结果,也不知道如何深入研究它。
任何建议都将不胜感激。

共有1个答案

满元凯
2023-03-14

对于像IIS这样的反向代理,您必须配置反向代理以将以下标头发送到SonarQube:x-forwarded-proto:https

您可以在这里查看:IIS等效的“proxy_set_header X-Forwarded-Proto https;”

设置此标头后,会话将具有丢失的secure标志。

 类似资料:
  • 我正在尝试让客户端/服务器程序通过ssl交换http消息。首先,我创建了使用DefaultHttpRequest成功交换http请求的客户端和服务器程序。发送请求的代码如下所示: 客户端管道工厂包含以下内容: 服务器管道工厂包含以下内容: .... 到目前为止一切顺利。客户端发送请求,服务器接收并解码请求。使用正确的数据调用我的处理程序上的messageReceived方法。 为了启用 SSL,我

  • 我有一个角度12前端应用程序与Spring Boot后端应用程序通信。应该使用cookie通过CSRF令牌调用API,但我的逻辑似乎只适用于localhost。 请查找以下代码片段: 通过ngx cookie服务设置角度cookie: 在每次请求之前调用角度拦截器: Spring Boot CORS一般配置: 我真的不明白问题是在前端还是后端。。。同样,通过HTTP(localhost)发送Coo

  • 问题内容: 我有一个跨子域的jQuery ajax调用,该子域可以正常工作,除非它不发送cookie。有什么办法可以做到这一点? 问题答案: 这听起来像我的预期行为。Cookies是每个域(包括子域)。但是我认为您可以通过以下方式强制使用: 这是完全未经测试的,所以让我知道它是否有效;) 编辑 :实际上看起来根本不可能…看这里:如何在JavaScript中使用XMLHttpRequest设置Coo

  • 问题内容: 当与socket.io握手时,是否可以轻松地传递身份验证cookie?我目前必须分别进行操作,如下所示: 问题答案: WebSockets确实支持cookie,因为它们是基于HTTP的,但是快速浏览Socket.IO的源代码显示不支持此内置。 因此,在这种情况下,直接使用cookie并不是可行的解决方案,而且,由于您使用的是Socket.IO,因此不能保证用户实际上会通过WebSock

  • 如何通过Azure从我的UWP-App向不同设备上的应用程序的其他实例发送推送通知? 以下是注册设备以接收推送的说明。(这是可行的)第二部分是关于如何在控制台应用程序上发送推送(这也是可行的)https://azure.microsoft.com/en-us/documentation/articles/notification-hubs-windows-store-dotnet-get-star

  • 我从以前的HTTP请求中提取cookie,然后传递到后续的请求中。除了2个cookie外,其他都成功通过了。我还能做些什么来让它起作用? 如有任何帮助,不胜感激。