到底如何在 ASP Classic 中配置 httpOnly Cookie？

Question

我希望在我的旧 ASP 经典站点中实现 httpOnly。有人知道该怎么做吗？

Answer 1

Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"

其他选项如 expires, path 和 secure 也可以通过这种方式添加。我不知道有什么神奇的方法可以改变你的整个饼干收藏，但我可能是错的。

Answer 2

如果您在 IIS 7/7.5 上运行经典 ASP 网页，则可以使用 IIS URL 重写模块编写规则以使您的 cookie 为 HTTPOnly。

将以下内容粘贴到 web.config 的部分中：

<rewrite>
    <outboundRules>
        <rule name="Add HttpOnly" preCondition="No HttpOnly">
            <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
            <action type="Rewrite" value="{R:0}; HttpOnly" />
            <conditions>
            </conditions>
        </rule>
        <preConditions>
            <preCondition name="No HttpOnly">
                <add input="{RESPONSE_Set_Cookie}" pattern="." />
                <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
            </preCondition>
        </preConditions>
    </outboundRules>
</rewrite>

请参阅此处了解详细信息： http://forums.iis.net/t/1168473.aspx/1/10

作为背景，出于 PCI 合规性原因，需要 HTTPOnly cookie。PCI 标准人员（为了信用卡安全）至少让您的 sessionID cookie 上有 HTTPOnly，以帮助防止 XSS 攻击。

此外，目前（2013 年 2 月 11 日），所有主流浏览器都支持对 cookie 的 HTTPOnly 限制。这包括当前版本的 IE、Firefox、Chrome 和 Safari。

请参阅此处，了解有关其工作原理以及各种浏览器版本支持的更多信息：https://www.owasp.org/index.php/HTTPOnly

Answer 3

您需要将“;HttpOnly”附加到响应 cookie 集合中。

Answer 4

Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""

Answer 5

HttpOnly 对于提高 Web 应用程序的安全性作用甚微。一方面，它仅适用于 IE（Firefox“支持”它，但在某些情况下仍然向 Javascript 公开 cookie）。另一方面，它只能防止针对您的应用程序的“路过式”攻击；它无法阻止跨站点脚本攻击重置密码、更改电子邮件地址或下订单。

你应该使用它吗？当然。它不会伤害你。但在开始使用 HttpOnly 之前，您应该确定您正在做 10 件事。