该网站cookie没有设置HttpOnly标志。如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,是防止XSS攻击的一种安全措施。
攻击者可以通过document对象获取Cookie,进行xss等攻击。
需要在网站服务器代码上修改,设置办法举例:header"Set-Cookie:hidden=value;httpOnly");
通过nginx配置修改网页cookie属性
add_header Set-Cookie "HttpOnly" ;
add_header Set-Cookie "Secure" ;
add_header X-Frame-Options "SAMEORIGIN" ;
修改 php.ini 的 session.cookie_httponly 和 session.cookie_secure 为 1,重启php