Wie genau konfigurieren Sie httpOnly-Cookies in ASP Classic?

StackOverflow https://stackoverflow.com/questions/55296

  •  09-06-2019
  •  | 
  •  

Frage

Ich möchte httpOnly in meinen alten ASP-Classic-Sites implementieren.Weiß jemand, wie es geht?

War es hilfreich?

Lösung 

Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"

Andere Optionen wie expires, path und secure können auch auf diese Weise hinzugefügt werden. Ich weiß nicht, jede magische Art und Weise Ihre ganze Cookies Sammlung zu ändern, aber ich konnte darüber falsch sein.

Andere Tipps

Wenn Sie Ihre klassischen ASP-Webseiten auf IIS laufen 7 / 7.5, dann können Sie den IIS URL Rewrite-Modul verwenden, um eine Regel zu schreiben, um Ihre Cookies Httponly zu machen.

Fügen Sie Folgendes in den Abschnitt Ihrer web.config: 

<rewrite>
    <outboundRules>
        <rule name="Add HttpOnly" preCondition="No HttpOnly">
            <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
            <action type="Rewrite" value="{R:0}; HttpOnly" />
            <conditions>
            </conditions>
        </rule>
        <preConditions>
            <preCondition name="No HttpOnly">
                <add input="{RESPONSE_Set_Cookie}" pattern="." />
                <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
            </preCondition>
        </preConditions>
    </outboundRules>
</rewrite>

Sehen Sie hier für die Details: http://forums.iis.net/t/1168473.aspx / 10.01

Für Hintergrund, Httponly-Cookies werden für PCI-Compliance-Gründen erforderlich. Die PCI-Standards Leute (aus Sicherheitsgründen Kreditkarte) machen Sie Httponly auf sessionID Cookies zumindest haben, um zu helfen, XSS-Angriffe zu verhindern.

Auch in der aktuellen Zeit (2-11-2013), alle großen Browser die Httponly Beschränkung Cookies unterstützen. Dazu gehören aktuelle Versionen von Internet Explorer, Firefox, Chrome und Safari.

Sehen Sie hier für weitere Informationen darüber, wie das funktioniert und Unterstützung durch verschiedene Browser-Versionen: https://www.owasp.org/index.php/HTTPOnly

Sie müssen anhängen „Httponly“ auf die Antwort Cookies Sammlung

. 
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""

Httponly hat sehr wenig, um die Sicherheit von Web-Anwendungen zu verbessern. Für eine Sache, es funktioniert nur im Internet Explorer (Firefox „unterstützt“, aber immer noch offenbart Cookies Javascript in manchen Situationen). Zum anderen verhindert es nur ein „Drive-by“ Angriff gegen Ihre Anwendung; es tut nichts von einem Cross-Site-Scripting-Angriff zu halte Zurücksetzen von Passwörtern, E-Mail-Adressen ändern oder Aufträge vergeben werden.

Sollten Sie es verwenden? Sicher. Es wird dir nicht weh tun. Aber es gibt 10 Dinge, die Sie sollten sicher sein, Sie tun, bevor Sie mit Httponly Messing starten.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top