1. Zuhause
  2. Frage und Antwort
  3. Wie genau konfigurieren Sie httpOnly-Cookies in ASP Classic?

Wie genau konfigurieren Sie httpOnly-Cookies in ASP Classic?

2008-09-10 9 views

Antwort

11 
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"

Andere Optionen wie expires, path und secure können auch auf diese Weise hinzugefügt werden. Ich kenne keine magische Möglichkeit, Ihre gesamte Kekssammlung zu ändern, aber ich könnte mich irren.

Quelle

2008-09-10 21:49:08

1

Sie müssen "; HttpOnly" an die Response-Cookies-Sammlung anhängen.

Quelle

2008-09-10 21:03:18

+3

Es ist nicht klar, wäre ein Stück Code –

-1

HttpOnly tut sehr wenig, um die Sicherheit von Webanwendungen zu verbessern. Zum einen funktioniert es nur in IE (Firefox "unterstützt" es, aber offenbart in einigen Situationen immer noch Cookies zu Javascript). Zum anderen verhindert es nur einen "Drive-by" -Angriff gegen Ihre Anwendung; Es verhindert nichts, wenn ein Cross-Site-Scripting-Angriff Passwörter zurücksetzt, E-Mail-Adressen ändert oder Bestellungen aufgibt.

Sollten Sie es verwenden? Sicher. Es wird dir nicht weh tun. Aber es gibt 10 Dinge, die du sicher tun solltest, bevor du anfängst, mit HttpOnly zu spielen.

Quelle

2008-09-11 19:37:24 tqbf

+1

Ja, ich weiß, groß sein. Aber eine weitere Schutzschicht hinzuzufügen, tut nie weh. –

+5

Ich glaube nicht, dass dies jetzt im Jahr 2012 wahr ist – Philluminati

14

Wenn Sie Ihre klassischen ASP-Webseiten unter IIS 7/7.5 ausführen, können Sie das IIS-URL-Rewrite-Modul zum Schreiben einer Regel verwenden, um Ihre Cookies HTTPOnly zu erstellen.

Fügen Sie Folgendes in den Abschnitt Ihrer web.config:

<rewrite> 
    <outboundRules> 
     <rule name="Add HttpOnly" preCondition="No HttpOnly"> 
      <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" /> 
      <action type="Rewrite" value="{R:0}; HttpOnly" /> 
      <conditions> 
      </conditions> 
     </rule> 
     <preConditions> 
      <preCondition name="No HttpOnly"> 
       <add input="{RESPONSE_Set_Cookie}" pattern="." /> 
       <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" /> 
      </preCondition> 
     </preConditions> 
    </outboundRules> 
</rewrite>

Sehen Sie hier für die Details: http://forums.iis.net/t/1168473.aspx/1/10

Für Hintergrund, Httponly-Cookies werden für PCI-Compliance-Gründen erforderlich. Die PCI-Standards (für die Kreditkartensicherheit) sorgen dafür, dass Sie mindestens HTTP0Only auf Ihren sessionID-Cookies haben, um XSS-Angriffe zu verhindern.

Zum gegenwärtigen Zeitpunkt (2-11-2013) unterstützen alle gängigen Browser die HTTPOnly-Beschränkung für Cookies. Dies beinhaltet aktuelle Versionen von IE, Firefox, Chrome und Safari.

Sehen Sie hier für weitere Informationen darüber, wie das funktioniert und Unterstützung durch verschiedene Browser-Versionen: https://www.owasp.org/index.php/HTTPOnly

Quelle

2013-02-11 18:39:13

0 
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""

Quelle

2015-07-28 15:21:21

 Verwandte Themen

  • Keine verwandten Themen^_^