ASP Classic에서 httpOnly 쿠키를 정확히 어떻게 구성합니까?
https://stackoverflow.com/questions/55296
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
기존 ASP 클래식 사이트에 httpOnly를 구현하려고 합니다.누구든지 그것을 수행하는 방법을 알고 있습니까?
해결책
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
다음과 같은 다른 옵션 expires, path 그리고 secure 이런 식으로 추가할 수도 있습니다.나는 전체 쿠키 컬렉션을 변경하는 마법 같은 방법을 모르지만 그것에 대해 틀릴 수도 있습니다.
다른 팁
IIS 7/7.5에서 기본 ASP 웹 페이지를 실행하는 경우 IIS URL 재작성 모듈을 사용하여 쿠키를 HTTPOnly로 만드는 규칙을 작성할 수 있습니다.
web.config 섹션에 다음을 붙여넣습니다.
<rewrite>
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
자세한 내용은 여기를 참조하세요. http://forums.iis.net/t/1168473.aspx/1/10
백그라운드에서는 PCI 규정 준수를 위해 HTTPOnly 쿠키가 필요합니다.PCI 표준 담당자(신용 카드 보안용)에서는 XSS 공격을 방지하기 위해 최소한 sessionID 쿠키에 HTTPOnly를 설정합니다.
또한 현재(2013년 2월 11일) 모든 주요 브라우저는 쿠키에 대한 HTTPOnly 제한을 지원합니다.여기에는 IE, Firefox, Chrome 및 Safari의 최신 버전이 포함됩니다.
다양한 브라우저 버전에서 이 기능이 어떻게 작동하고 지원되는지에 대한 자세한 내용은 여기를 참조하세요.https://www.owasp.org/index.php/HTTPOnly
응답 쿠키 컬렉션에 ";HttpOnly"를 추가해야 합니다.
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""
HttpOnly는 웹 애플리케이션의 보안을 거의 향상시키지 않습니다.우선, 이는 IE에서만 작동합니다(Firefox는 이를 "지원"하지만 일부 상황에서는 여전히 Javascript에 쿠키를 공개합니다).또 다른 점은 애플리케이션에 대한 "드라이브 바이(drive-by)" 공격만 방지한다는 것입니다.비밀번호 재설정, 이메일 주소 변경, 주문 등의 크로스 사이트 스크립팅 공격을 막는 데 아무런 도움이 되지 않습니다.
꼭 사용해야 할까요?확신하는.그것은 당신을 해치지 않을 것입니다.하지만 HttpOnly를 사용하기 전에 반드시 확인해야 할 10가지 사항이 있습니다.
