Como exatamente você configura cookies httpOnly no ASP Classic?
-
09-06-2019 - |
Pergunta
Estou procurando implementar httpOnly em meus sites clássicos ASP legados.Alguém sabe como fazer isto?
Solução
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
Outras opções como expires
, path
e secure
também pode ser adicionado desta forma.Não conheço nenhuma maneira mágica de alterar toda a sua coleção de cookies, mas posso estar errado sobre isso.
Outras dicas
Se você executar suas páginas da Web ASP clássicas no IIS 7/7.5, poderá usar o módulo IIS URL Rewrite para escrever uma regra para tornar seus cookies somente HTTP.
Cole o seguinte na seção do seu web.config:
<rewrite>
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
Veja aqui para detalhes: http://forums.iis.net/t/1168473.aspx/1/10
Como pano de fundo, os cookies HTTPOnly são necessários por motivos de conformidade com PCI.O pessoal dos padrões PCI (para segurança de cartão de crédito) faz com que você tenha HTTPOnly em seus cookies de ID de sessão, no mínimo, para ajudar a prevenir ataques XSS.
Além disso, no momento (11/02/2013), todos os principais navegadores suportam a restrição HTTPOnly para cookies.Isso inclui as versões atuais do IE, Firefox, Chrome e Safari.
Veja aqui mais informações sobre como isso funciona e suporte para várias versões de navegador:https://www.owasp.org/index.php/HTTPOnly
Você precisa anexar ";HttpOnly" à coleção de cookies de resposta.
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""
O HttpOnly faz muito pouco para melhorar a segurança dos aplicativos da web.Por um lado, ele só funciona no IE (o Firefox "suporta", mas ainda divulga cookies para Javascript em algumas situações).Por outro lado, ele apenas evita um ataque "drive-by" contra seu aplicativo;não faz nada para impedir que um ataque de script entre sites redefina senhas, altere endereços de e-mail ou faça pedidos.
Você deveria usá-lo?Claro.Não vai te machucar.Mas há 10 coisas que você deve ter certeza de fazer antes de começar a mexer com o HttpOnly.