Un cookie di sessione è impostato senza HttpOnly all'inizio, ma aggiunto prima che il browser client finisca il rendering, ancora considerato vulnerabile? Il test dello scanner che ho bisogno di soddisfare crede così, ma è un falso positivo?
È facile da testare. Dopo che il browser ha completato il rendering, apri la console JavaScript e prova questo:
alert(document.cookie)
Se non riesci ad accedere all'ID di sessione utilizzando il terminale, un utente malintenzionato non può accedervi utilizzando XSS.
Leggi altre domande sui tag cookies session-management web-scanners