到底如何在 ASP Classic 中配置 httpOnly Cookie?
-
09-06-2019 - |
题
我希望在我的旧 ASP 经典站点中实现 httpOnly。有人知道该怎么做吗?
解决方案
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
其他选项如 expires
, path
和 secure
也可以通过这种方式添加。我不知道有什么神奇的方法可以改变你的整个饼干收藏,但我可能是错的。
其他提示
如果您在 IIS 7/7.5 上运行经典 ASP 网页,则可以使用 IIS URL 重写模块编写规则以使您的 cookie 为 HTTPOnly。
将以下内容粘贴到 web.config 的部分中:
<rewrite>
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
请参阅此处了解详细信息: http://forums.iis.net/t/1168473.aspx/1/10
作为背景,出于 PCI 合规性原因,需要 HTTPOnly cookie。PCI 标准人员(为了信用卡安全)至少让您的 sessionID cookie 上有 HTTPOnly,以帮助防止 XSS 攻击。
此外,目前(2013 年 2 月 11 日),所有主流浏览器都支持对 cookie 的 HTTPOnly 限制。这包括当前版本的 IE、Firefox、Chrome 和 Safari。
请参阅此处,了解有关其工作原理以及各种浏览器版本支持的更多信息:https://www.owasp.org/index.php/HTTPOnly
您需要将“;HttpOnly”附加到响应 cookie 集合中。
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""
HttpOnly 对于提高 Web 应用程序的安全性作用甚微。一方面,它仅适用于 IE(Firefox“支持”它,但在某些情况下仍然向 Javascript 公开 cookie)。另一方面,它只能防止针对您的应用程序的“路过式”攻击;它无法阻止跨站点脚本攻击重置密码、更改电子邮件地址或下订单。
你应该使用它吗?当然。它不会伤害你。但在开始使用 HttpOnly 之前,您应该确定您正在做 10 件事。