Google Cloud Functions Python関数でのクッキー属性 "httpOnly" の設定

実現したいこと

Google Cloud FunctionsでPython関数を実行しています。
別のアプリ内のイベント駆動WebhookによるPostリクエストを受信し、処理するための関数となります。

社内の脆弱性診断により、該当の関数において以下の通り診断されました。

Missing httpOnly Cookie Attribute

この内容について知見がなく、調査をしていたところです。
（内容自体については理解できました。）

試したこと・質問事項

公式ドキュメントなど色々調べたのですが、
「Google Cloud Functionではcookieが使えない」という旨の記述も見ました。
そもそもクッキーを利用するようなことはしていないのですが、
httpOnlyの設定は特に不要、または診断結果は無視できるものでしょうか？

行動規範の内容に同意します

回答2件

ベストアンサー

Cookie が使えないってのは、下記のことを言っているのではないかと。
https://firebase.google.com/docs/hosting/manage-cache?hl=ja#using_cookies

Firebase Hosting と Cloud Functions または Cloud Run を併用すると、通常は受信リクエストから Cookie が削除されます。この処理は、CDN キャッシュの動作を効率化するために必要になります。__session という特別な名前の Cookie だけがアプリに到達できます。

で、Cloud Functions で set-cookie 的なこともしていない & 実際に Cloud Funtions が set-cookie 的なヘッダを出力しているのであれば、Cloud Functions が set-cookie 的なものを自動的に出力しているのではないかと思います。

その場合は
・Cloud Functions が自動で出力するもなのでどうしようもない
・リクエストする側はブラウザではなく js 処理系もないため httpOnly があろうがなかろうが違いはない
あたりで逃げておくのがよいのでは。

投稿2023/08/28 14:47