Media
Cookies cookiesession1 sin Secure ni SameSite en multiples subdominios
Categoría
Headers de seguridad
Estado
ActivoConfianza
verified
Observado
2026-04-28
Resumen
Apex, cdn, docs y assets setean cookiesession1 con HttpOnly pero sin Secure ni SameSite.
Por qué importa
Sin Secure la cookie viaja en claro si el cliente acepta HTTP (apex no envia HSTS). Sin SameSite es vulnerable a CSRF en flujos posteriores.
Trazabilidad
Primera aparición
2026-04-28
Revisión
2026-05-17
Publicación
2026-05-17
Solución
—
Primera aparicion conocida en findings.json2026-04-28
Revision: promote2026-05-17
Publicado como hallazgo activo2026-05-17
Cómo mitigar
- •Habilitar HSTS: `Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`.
- •CSP estricto: `Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; ...`.
- •X-Content-Type-Options: nosniff, X-Frame-Options: DENY (o CSP frame-ancestors), Referrer-Policy: strict-origin-when-cross-origin.