¿Cómo se configuran exactamente las cookies httpOnly en ASP Classic?

StackOverflow https://stackoverflow.com/questions/55296

  •  09-06-2019
  •  | 
  •  

Pregunta

Estoy buscando implementar httpOnly en mis sitios ASP clásicos heredados.¿Alguien sabe como hacerlo?

¿Fue útil?

Solución 

Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"

Otras opciones como expires, path y secure También se puede añadir de esta manera.No conozco ninguna forma mágica de cambiar toda tu colección de galletas, pero podría estar equivocado al respecto.

Otros consejos

Si ejecuta sus páginas web ASP clásicas en IIS 7/7.5, puede usar el módulo de reescritura de URL de IIS para escribir una regla que haga que sus cookies sean solo HTTP.

Pegue lo siguiente en la sección de su web.config:

<rewrite>
    <outboundRules>
        <rule name="Add HttpOnly" preCondition="No HttpOnly">
            <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
            <action type="Rewrite" value="{R:0}; HttpOnly" />
            <conditions>
            </conditions>
        </rule>
        <preConditions>
            <preCondition name="No HttpOnly">
                <add input="{RESPONSE_Set_Cookie}" pattern="." />
                <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
            </preCondition>
        </preConditions>
    </outboundRules>
</rewrite>

Mire aquí para más detalles: http://forums.iis.net/t/1168473.aspx/1/10

En segundo plano, se requieren cookies HTTPOnly por motivos de cumplimiento de PCI.La gente de los estándares PCI (para la seguridad de las tarjetas de crédito) hace que usted tenga HTTPOnly en sus cookies de ID de sesión como mínimo para ayudar a prevenir ataques XSS.

Además, en este momento (11 de febrero de 2013), todos los navegadores principales admiten la restricción HTTPOnly en las cookies.Esto incluye las versiones actuales de IE, Firefox, Chrome y Safari.

Consulte aquí para obtener más información sobre cómo funciona y la compatibilidad con varias versiones del navegador:https://www.owasp.org/index.php/HTTPOnly

Debe agregar ";HttpOnly" a la colección de cookies de respuesta.

Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""

HttpOnly hace muy poco para mejorar la seguridad de las aplicaciones web.Por un lado, sólo funciona en IE (Firefox lo "admite", pero aún revela cookies a Javascript en algunas situaciones).Por otro lado, sólo previene un ataque "indirecto" contra su aplicación;no hace nada para evitar que un ataque de secuencias de comandos entre sitios restablezca contraseñas, cambie direcciones de correo electrónico o realice pedidos.

¿Deberías usarlo?Seguro.No te va a hacer daño.Pero hay 10 cosas que debes asegurarte de hacer antes de empezar a jugar con HttpOnly.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top