Esattamente come si configura httpOnly i Cookie in ASP Classic?

StackOverflow https://stackoverflow.com/questions/55296

  •  09-06-2019
  •  | 
  •  

Domanda

Sto cercando di implementare httpOnly nel mio retaggio ASP classic siti.Qualcuno sa come fare?

È stato utile?

Soluzione 

Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"

Altre opzioni come expires, path e secure può essere aggiunto anche in questo modo.Non so di qualsiasi magico modo per cambiare il vostro intero insieme di cookie, ma potrei sbagliarmi su questo.

Altri suggerimenti

Se si esegue l'ASP Classico pagine web su IIS 7/7.5, quindi è possibile utilizzare IIS URL Rewrite module scrivere una regola per rendere il vostro cookie HTTPOnly.

Incollare il seguente sezione del web.config:

<rewrite>
    <outboundRules>
        <rule name="Add HttpOnly" preCondition="No HttpOnly">
            <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
            <action type="Rewrite" value="{R:0}; HttpOnly" />
            <conditions>
            </conditions>
        </rule>
        <preConditions>
            <preCondition name="No HttpOnly">
                <add input="{RESPONSE_Set_Cookie}" pattern="." />
                <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
            </preCondition>
        </preConditions>
    </outboundRules>
</rewrite>

Vedi qui per i dettagli: http://forums.iis.net/t/1168473.aspx/1/10

Per lo sfondo, HTTPOnly i cookie sono necessari per la conformità PCI motivi.Il PCI standard di gente (per la sicurezza della carta di credito) ti fanno avere HTTPOnly sul tuo cookie sessionID almeno per aiutare a prevenire gli attacchi XSS.

Inoltre, al momento attuale (2-11-2013), tutti i principali browser supporto HTTPOnly restrizione sui cookie.Questo include le attuali versioni di IE, Firefox, Chrome e Safari.

Vedi qui per maggiori informazioni su come funziona e supporto per varie versioni di browser:https://www.owasp.org/index.php/HTTPOnly

È necessario aggiungere ";HttpOnly" per la Risposta insieme di cookie.

Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""

HttpOnly fa ben poco per migliorare la sicurezza delle applicazioni web.Per una cosa, funziona solo in IE (Firefox "supporta", ma è ancora detentrice di cookies per Javascript in alcune situazioni).Per un'altra cosa, ma impedisce un "drive-by" attacco contro l'applicazione;e non fa nulla per mantenere un attacco cross-site scripting reimpostazione delle password, modifica indirizzi e-mail, o l'immissione ordini.

Si dovrebbe usare?Certo.Non sta andando male.Ma ci sono 10 cose che si dovrebbe essere sicuri che si sta facendo prima di iniziare a fare scherzi con la HttpOnly.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top