[소스코드] Cookie Security: Overly Broad Domain 조치방법

□ 개요

특정도메인을 기준으로 쿠키를 생성하지 않는 취약점이다. 보통 setDomain을 루트("/")로 설정하면 소스코드 스캐너에서 취약점으로 잡는다 이를 해결하기 위해서는 루트가아닌 도메인을 하드코딩해준다.

 

□ 해결방법

도메인 기준으로 생성하도록 지정해준다.

 Cookie cookie = new Cookie("sessionID", sessionID);
 cookie.setDomain("secure.example.com");

 

□ 참고

해당 취약점은 insecure.example.com를 찾아보는 secure.example.com에 인증된 모든 사용자는 secure.example.com에서 세션쿠키를 노출할 위험이 있다.