0xelitesystem/session-cookie-auditor

# session-cookie-auditor 基于浏览器的 `Set-Cookie` 头部审计工具。粘贴一个或多个头部，即可获得每个 cookie 的加固评级以及缺失或薄弱属性的列表。 **在线演示：** https://0xelitesystem.github.io/session-cookie-auditor/ 单个 HTML 文件。无需构建步骤，无依赖，无网络调用。取证风格的输出：等宽字体的检查结果块，并对 cookie 的值进行遮蔽处理。 ## 检查内容 对于每个解析出的 `Set-Cookie` 头部： - **`Secure`**，如果 cookie 携带身份验证信息则为必选项；标记通过明文发送的 cookie。 - **`HttpOnly`**，对于 session 和身份验证 cookie 是必选项；标记可被 `document.cookie` 访问的 cookie。 - **`SameSite`**，标记缺失的属性（现代浏览器会将其视为 `Lax`，但显式声明更安全）、没有 `Secure` 的 `SameSite=None`（会被 Chrome 拒绝），以及不需要跨站上下文却使用了 `SameSite=None` 的 cookie。 - **`Domain`**，标记范围过大（当子域名就足够时却使用了父域名）的情况。 - **`Path`**，标记本应限制在子路径下却使用了 `Path=/` 的 cookie。 - **`Expires` / `Max-Age`**，标记缺失值（session cookie 没问题，但没有轮换策略的 auth token 令人担忧）、不合理的过长生命周期（>1 年）以及冲突的值。 - **`__Host-` 和 `__Secure-` 前缀**，检查使用这些前缀的 cookie 是否符合前缀要求；为看起来与身份验证相关的 cookie 建议添加前缀。 - **名称模式**，对 `session`、`sid`、`token`、`auth`、`jwt`、`csrf` 等名称进行启发式匹配，以应用更严格的规则。 ## 加固评级 根据缺失的关键属性，为每个 cookie 综合得出字母评级 A、F： - **A**，包含 `Secure`、`HttpOnly`、`SameSite=Strict` 或 `Lax`，限制了范围的 `Path` 和 `Domain`，以及适用的 `__Host-` 或 `__Secure-` 前缀 - **B**，缺失或薄弱一个次要属性 - **C**，缺失 `SameSite` 或属性组合削弱了隔离性 - **D**，auth cookie 缺失 `HttpOnly`，或缺失 `Secure` - **F**，缺失多个关键属性，或没有 `Secure` 的 `SameSite=None` ## 严重程度等级 | 标签 | 含义 | |-----|---------| | critical | Auth cookie 暴露给 JS，或通过明文发送 | | high | CSRF 防御缺失或被削弱 | | medium | 范围过广，生命周期过长 | | low | 卫生问题（缺失前缀，名称模糊） | | info | 无强烈建议的观察结果 | ## 不适用的场景 这不是一个运行时测试工具。它不会发起 HTTP 请求，不会跟随重定向，也不会评估 cookie 在特定浏览器版本下的行为。它仅解析你粘贴的头部字面文本。如需动态测试，请使用浏览器开发者工具、Burp Suite 或 `OWASP ZAP`。 ## 隐私 Cookie 的值在输出时会被遮蔽（仅显示属性结构）。任何数据都不会离开浏览器。没有分析，没有存储。 ## 示例 头部按钮中内置了三个示例：一个经过加固的 auth cookie，一个宽松的第三方跟踪 cookie，以及一个属性冲突的 cookie。 ## 相关仓库 10 个安全审计仓库集合的一部分。 基于浏览器的审计工具： - [iam-policy-analyzer](https://github.com/0xelitesystem/iam-policy-analyzer) - [terraform-security-linter](https://github.com/0xelitesystem/terraform-security-linter) - [kubernetes-manifest-security-scanner](https://github.com/0xelitesystem/kubernetes-manifest-security-scanner) - [regex-redos-checker](https://github.com/0xelitesystem/regex-redos-checker) 参考集合： - [incident-response-runbooks](https://github.com/0xelitesystem/incident-response-runbooks) - [ai-llm-security-audit](https://github.com/0xelitesystem/ai-llm-security-audit) - [api-security-audit-checklist](https://github.com/0xelitesystem/api-security-audit-checklist) - [secrets-leak-response-runbook](https://github.com/0xelitesystem/secrets-leak-response-runbook) - [threat-modeling-worksheets](https://github.com/0xelitesystem/threat-modeling-worksheets) ## 许可证 MIT。请参阅 [许可证](LICENSE)。

标签：Cookie安全, Web安全, 云安全监控, 后端开发, 多模态安全, 数据可视化, 纯前端, 蓝队分析, 静态分析