检测到会话cookie中缺少Secure属性

详细描述

会话cookie中缺少Secure属性会导致攻击者可以通过非HTTPS页面窃取到用户的cookie信息，造成用户cookie信息的泄露。
 
cookie中的Secure指的是安全性。通过设定cookie中的Secure，可以指定cookie是否只能通过https协议访问。一般的cookie使用HTTP协议既可访问，如果启用Secure属性，则浏览器仅仅会在HTTPS请求中向服务端发送cookie内容。
 
在WEB应用中，对于敏感业务，如：登录或者付款，需要使用HTTPS来保证内容的传输安全，而在用户成功获得授权之后，获得的客户端身份cookie如果没有设置为Secure，那么很有可能会被非HTTPS页面拿到，从而造成重要的身份泄露。

解决方法

向所有会话cookie中添加“Secure”标识。
 
示例：
未添加标识的cookie：
Cookie: jsessionid=AS348AF929FK219CKA9FK3B79870H;
添加secure标识：
Cookie: jsessionid=AS348AF929FK219CKA9FK3B79870H; secure;