Q&A
回答ありがとうございます!
クッキーを利用している際はそうですね、必ずhttpOnlyとSecure属性は意識するようにしたいと思います。
大変参考になりました、ありがとうございます。
実現したいこと
Google Cloud FunctionsでPython関数を実行しています。
別のアプリ内のイベント駆動WebhookによるPostリクエストを受信し、処理するための関数となります。
社内の脆弱性診断により、該当の関数において以下の通り診断されました。
Missing
httpOnlyCookie Attribute
この内容について知見がなく、調査をしていたところです。
(内容自体については理解できました。)
試したこと・質問事項
公式ドキュメントなど色々調べたのですが、
「Google Cloud Functionではcookieが使えない」という旨の記述も見ました。
そもそもクッキーを利用するようなことはしていないのですが、
httpOnlyの設定は特に不要、または診断結果は無視できるものでしょうか?
回答2件
0
ベストアンサー
Cookie が使えないってのは、下記のことを言っているのではないかと。
https://firebase.google.com/docs/hosting/manage-cache?hl=ja#using_cookies
Firebase Hosting と Cloud Functions または Cloud Run を併用すると、通常は受信リクエストから Cookie が削除されます。この処理は、CDN キャッシュの動作を効率化するために必要になります。__session という特別な名前の Cookie だけがアプリに到達できます。
で、Cloud Functions で set-cookie 的なこともしていない & 実際に Cloud Funtions が set-cookie 的なヘッダを出力しているのであれば、Cloud Functions が set-cookie 的なものを自動的に出力しているのではないかと思います。
その場合は
・Cloud Functions が自動で出力するもなのでどうしようもない
・リクエストする側はブラウザではなく js 処理系もないため httpOnly があろうがなかろうが違いはない
あたりで逃げておくのがよいのでは。
投稿2023/08/28 14:47
総合スコア2026
0
クッキーを利用しないなら気にする必要はありませんが
httpOnlyが付いていないクッキーの運用は
セキュリティ的に最悪なのを認識頂けれると幸いです。
レスポンスヘッダー送信時にクッキー文字列の末尾にHttpOnlyという
文字を追加するだけでOKなので
クッキーを利用する際は必ず付けましょう。
投稿2023/08/28 12:02
総合スコア39
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2023/08/29 00:54