OSSN/OSSN-0036

Horizon 未在 cookies 中设置 Secure 属性

总结

默认情况下，Horizon 未在 cookies 中设置 Secure 属性。

受影响的服务 / 软件

Horizon, Django, SSL, TLS

讨论

在生产环境中，Horizon 应为 cookies 设置 Secure 属性。设置此标志后，浏览器将仅通过安全通道传输 cookie。如果未设置，浏览器可能会通过明文通道传输 cookie，从而可能将内容暴露给攻击者，攻击者随后可以使用该 cookie 以原始用户的身份向 Horizon 服务器进行身份验证。

建议的操作

通过将 SESSION_COOKIE_SECURE 配置标志设置为 true 来启用安全 cookie，如 Django 文档中所述

• https://docs.django.ac.cn/en/dev/ref/settings/#std:setting-SESSION_COOKIE_SECURE

联系方式 / 参考文献

• 作者：Robert Clark, HP
• 此 OSSN：https://wiki.openstack.org/wiki/OSSN/OSSN-0036
• 相关 OSSN：https://wiki.openstack.org/wiki/OSSN/OSSN-0035
• 原始 LaunchPad Bug：https://bugs.launchpad.net/horizon/+bug/1191051
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg