我期待在我的传统ASP经典网站中实现httpOnly。 任何人都知道如何做到这一点?如何在ASP Classic中配置httpOnly Cookies?
回答
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
像expires
,path
和secure
其他选项也可以添加这样。我不知道有任何不可思议的方式来更改您的整个Cookie收集,但我可能是错误的。
您需要将“; HttpOnly”附加到响应cookie集合中。
HttpOnly对提高Web应用程序的安全性做的很少。首先,它只适用于IE(Firefox“支持”它,但在某些情况下仍然向Javascript发布cookie)。另一方面,它只能防止对您的应用程序进行“驱车”攻击;它不会因重置密码,更改电子邮件地址或下订单而导致跨站点脚本攻击。
你应该使用它吗?当然。这不会伤害你。但在你开始搞乱HttpOnly之前,你应该确定你有10件事。
是的,我知道。但增加一层保护从不会伤害。 – 2009-05-28 14:09:05
如果您在IIS 7/7.5上运行经典ASP网页,则可以使用IIS URL重写模块编写规则以使您的Cookie成为HTTPOnly。
以下内容粘贴到你的web.config的部分:
<rewrite>
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
看到这里的细节:http://forums.iis.net/t/1168473.aspx/1/10
为背景,中HTTPOnly Cookie是必需的PCI合规性的原因。 PCI标准人员(用于信用卡安全性)使您至少对会话ID cookie有HTTPOnly,以帮助防止XSS攻击。
此外,在当前时间(2013年2月11日),所有主流浏览器都支持cookie的HTTPOnly限制。这包括当前版本的IE,Firefox,Chrome和Safari。
在这里看到这是如何工作的更多信息,并支持各种浏览器版本: https://www.owasp.org/index.php/HTTPOnly
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""
- 1. yii cookies设置httpOnly
- 2. 如何删除HttpOnly cookies?
- 3. 是PDFReactor cookies HttpOnly?
- 4. 如何在tomcat/java webapps中配置HttpOnly cookie?
- 5. 使用javascript获取HttpOnly cookies
- 6. SMTP配置SendUsing配置值对ASP-Classic无效
- 7. 我可以在ii7中配置healthMonitoring for classic asp吗?
- 8. 如何在Classic ASP中设置断点? (IIS7/VS2010)
- 9. Ingres with Classic ASP
- 10. ajax and asp classic
- 11. 为经典ASP会话Cookie设置HTTPONLY
- 12. iis7,classic asp;键入不匹配错误
- 13. 如何在Django中设置HttpOnly cookie?
- 14. 如何在PHP中设置使用HttpOnly Cookie
- 15. Form post asp classic xmlhttp
- 16. Gzip for Classic ASP Pages
- 17. 使用vbscript/classic asp
- 18. VS2010 Classic ASP支持
- 19. Xamarin可以阅读httponly cookies吗?
- 20. 哪些浏览器支持HttpOnly cookies?
- 21. Jetty httpOnly Cookie配置像在Tomcat上
- 22. 在ASP Classic中缓存记录集?
- 23. 在ASP Classic/Legacy中检测iPad
- 24. ASP-Classic - 如何清除通过Response.Redirect放置的重定向头?
- 25. 如何使用HTTPOnly Cookies来保护JWT免受XSRF攻击?
- 26. 如何配置Apache2.2来设置HttpOnly和Secure参数?
- 27. 如何在ASP Classic中将Date()转换为dd-monthname-YYYY?
- 28. 如何使用RecordSet在Classic Asp中获取列名?
- 29. 如何在Classic ASP中进行有效的分页?
- 30. 如何在Classic ASP中对数据库值进行计算?
目前尚不清楚,一些代码将是巨大的 – 2008-09-11 14:42:19