كيف يمكنك تكوين ملفات تعريف الارتباط httpOnly في ASP الكلاسيكية ؟

StackOverflow https://stackoverflow.com/questions/55296

  •  09-06-2019
  •  | 
  •  

سؤال

أنا أبحث لتنفيذ httpOnly في إرث ASP classic المواقع.أي شخص يعرف كيف نفعل ذلك ؟

هل كانت مفيدة؟

المحلول 

Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"

خيارات أخرى مثل expires, path و secure يمكن أيضا إضافة في هذا السبيل.أنا لا أعرف أي طريقة سحرية لتغيير كله ملفات تعريف الارتباط جمع ، ولكن يمكن أن يكون مخطئا في ذلك.

نصائح أخرى

إذا قمت بتشغيل الكلاسيكية ASP صفحات ويب في IIS 7/7.5 ثم يمكنك استخدام IIS إعادة كتابة URL وحدة لكتابة القاعدة لجعل ملفات تعريف الارتباط الخاصة بك HTTPOnly.

لصق التالية في قسم الويب الخاص بك.التكوين:

<rewrite>
    <outboundRules>
        <rule name="Add HttpOnly" preCondition="No HttpOnly">
            <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
            <action type="Rewrite" value="{R:0}; HttpOnly" />
            <conditions>
            </conditions>
        </rule>
        <preConditions>
            <preCondition name="No HttpOnly">
                <add input="{RESPONSE_Set_Cookie}" pattern="." />
                <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
            </preCondition>
        </preConditions>
    </outboundRules>
</rewrite>

انظر هنا لمزيد من التفاصيل: http://forums.iis.net/t/1168473.aspx/1/10

على خلفية ملفات تعريف الارتباط HTTPOnly مطلوبة من أجل الامتثال PCI الأسباب.PCI المعايير الناس (بطاقة الائتمان الأمن) جعل لديك HTTPOnly على sessionID ملفات تعريف الارتباط على الأقل من أجل المساعدة في منع هجمات XSS.

أيضا, في الوقت الحالي (2-11-2013), جميع المتصفح الرئيسية دعم HTTPOnly تقييد ملفات تعريف الارتباط.وتشمل هذه الإصدارات الحالية من IE, فايرفوكس, كروم وسفاري.

انظر هنا لمزيد من المعلومات حول كيف يعمل هذا الدعم من قبل مختلف إصدارات المتصفح:https://www.owasp.org/index.php/HTTPOnly

تحتاج إلى إلحاق ";HttpOnly" إلى الاستجابة مجموعة ملفات تعريف الارتباط.

Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""

HttpOnly لم تفعل سوى القليل جدا لتحسين أمن تطبيقات الويب.من أجل شيء واحد فقط يعمل في IE (فايرفوكس "تدعم" ، ولكن لا يزال يكشف ملفات تعريف الارتباط إلى تفعيل جافا سكريبت في بعض الحالات).من أجل شيء آخر ، فإنه فقط يمنع "drive-by" الهجوم على التطبيق الخاص بك ؛ فإنه لا يفعل شيئا للحفاظ على البرمجة عبر الموقع لهجوم من إعادة تعيين كلمات المرور, تغيير عناوين البريد الإلكتروني أو وضع أوامر.

يجب عليك استخدامه ؟ بالتأكيد.فإنه لن يضر بك.ولكن هناك 10 أشياء يجب أن تكون متأكدا من أنك تفعل قبل البدء في العبث مع HttpOnly.

مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى StackOverflow
scroll top