# 把fortiweb的cookie設定為需要ssl才能用 ###### tags: `資安` ## 問題說明 client端第一次連到 fortiweb 的時候， fortiweb 會回傳一個 cookiesession1 的給 client 端  http://help.fortinet.com/fweb/581/Content/FortiWeb/fortiweb-admin/http_sessions_security.htm 圖片出處和官方說明 可以在 chrome 安裝 EditThisCookie 的外掛，就可以看到如下的截圖  這個 cookiesession1 預設並沒有使用 Secure 的設定(為了給 http 的網站用)，但這可能會被列為風險，因此需要在 fortiweb 的管理介面中調整 ## 調整方式 選擇 Web Protection > Cookie Security，並點選其中一項cookie(如果沒有的話，就自己新增一個)  將 Secure Cookie 勾起來  到 Policy Server Policy 選擇要套用此 cookie 規則的伺服器點兩下  找到 Web Protection Profile，點眼睛圖案進去修改  在 Cookie Security Policy 的選項選到剛剛新增的 cookie