¿Se establece una cookie de sesión sin HttpOnly al principio, pero se agrega antes de que el navegador del cliente termine de mostrarse, todavía se considera vulnerable? La prueba del escáner que necesito para satisfacer lo cree así, pero ¿es esto un falso positivo?
Esto es fácil de probar. Una vez que el navegador termine de procesarse, abra la consola de JavaScript e intente esto:
alert(document.cookie)
Si no puede acceder a la ID de sesión utilizando el terminal, entonces un atacante no puede acceder a él utilizando XSS.
Lea otras preguntas en las etiquetas cookies session-management web-scanners