Media
Cookies cookiesession1 sin Secure ni SameSite en multiples subdominios
Categoría
Headers de seguridad
Confianza
verified
Observado
2026-04-28
Resumen
Apex, cdn, docs y assets setean cookiesession1 con HttpOnly pero sin Secure ni SameSite.
Por qué importa
Sin Secure la cookie viaja en claro si el cliente acepta HTTP (apex no envia HSTS). Sin SameSite es vulnerable a CSRF en flujos posteriores.
Cómo mitigar
- •Habilitar HSTS: `Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`.
- •CSP estricto: `Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; ...`.
- •X-Content-Type-Options: nosniff, X-Frame-Options: DENY (o CSP frame-ancestors), Referrer-Policy: strict-origin-when-cross-origin.