2008-09-10 15 views
10

मैं अपनी विरासत एएसपी क्लासिक साइट्स में httpOnly को लागू करने के लिए देख रहा हूं। कोई भी जानता है कि यह कैसे करें?एएसपी क्लासिक में httpOnly कुकीज़ को आप वास्तव में कैसे कॉन्फ़िगर करते हैं?

उत्तर

11
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly" 

expires, path और secure की तरह अन्य विकल्प भी इस तरह से जोड़ा जा सकता है। मुझे आपके पूरे कुकीज़ संग्रह को बदलने के किसी भी जादुई तरीके से नहीं पता, लेकिन मैं इसके बारे में गलत हो सकता था।

1

आपको प्रतिक्रिया कुकीज़ संग्रह में "; केवल" संलग्न करने की आवश्यकता है।

+3

यह स्पष्ट नहीं है, कोड का एक सा –

-1

एचटीपी केवल वेब अनुप्रयोगों की सुरक्षा में सुधार करने के लिए बहुत कम करता है। एक बात के लिए, यह केवल आईई में काम करता है (फ़ायरफ़ॉक्स "इसका समर्थन करता है", लेकिन अभी भी कुछ स्थितियों में जावास्क्रिप्ट को कुकीज़ का खुलासा करता है)। एक और बात के लिए, यह केवल आपके आवेदन के खिलाफ "ड्राइव-बाय" हमला रोकता है; यह पासवर्ड रीसेट करने, ईमेल पते बदलने, या ऑर्डर देने से क्रॉस-साइट स्क्रिप्टिंग हमला रखने के लिए कुछ भी नहीं करता है।

क्या आप इसका इस्तेमाल करना चाहिए? ज़रूर। यह आपको चोट पहुंचाने वाला नहीं है। लेकिन 10 चीजें हैं जो आपको सुनिश्चित करनी चाहिए कि आप केवल एचटीपी के साथ गड़बड़ करना शुरू करने से पहले कर रहे हैं।

+1

हाँ, मैं जानता हूँ कि यह बहुत अच्छा होगा। लेकिन सुरक्षा की एक और परत जोड़ना कभी दर्द नहीं होता है। –

+5

मुझे विश्वास नहीं है कि यह 2012 में अब सच है – Philluminati

14

यदि आप आईआईएस 7/7.5 पर अपने क्लासिक एएसपी वेब पेज चलाते हैं, तो आप अपनी कुकीज़ को HTTP बनाने के लिए नियम लिखने के लिए आईआईएस यूआरएल रिवाइट मॉड्यूल का उपयोग कर सकते हैं।

अपने web.config के अनुभाग में निम्न पेस्ट करें:

<rewrite> 
    <outboundRules> 
     <rule name="Add HttpOnly" preCondition="No HttpOnly"> 
      <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" /> 
      <action type="Rewrite" value="{R:0}; HttpOnly" /> 
      <conditions> 
      </conditions> 
     </rule> 
     <preConditions> 
      <preCondition name="No HttpOnly"> 
       <add input="{RESPONSE_Set_Cookie}" pattern="." /> 
       <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" /> 
      </preCondition> 
     </preConditions> 
    </outboundRules> 
</rewrite> 

जानकारी के लिए यहाँ देखें: http://forums.iis.net/t/1168473.aspx/1/10

पृष्ठभूमि के लिए, HTTPOnly कुकीज़ PCI अनुपालन कारणों के लिए आवश्यक हैं। पीसीआई मानकों के लोग (क्रेडिट कार्ड सुरक्षा के लिए) आपको XSS हमलों को रोकने में मदद के लिए कम से कम अपने सत्र आईडी कुकीज़ पर HTTP बनाते हैं।

इसके अलावा, वर्तमान समय (2-11-2013) पर, सभी प्रमुख ब्राउज़र कुकीज़ पर HTTP पर केवल प्रतिबंध का समर्थन करते हैं। इसमें आईई, फ़ायरफ़ॉक्स, क्रोम और सफारी के मौजूदा संस्करण शामिल हैं।

और यह कैसे काम करता बारे में अधिक जानकारी के समर्थन के लिए यहाँ देखें विभिन्न ब्राउज़र संस्करणों द्वारा: https://www.owasp.org/index.php/HTTPOnly

0
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""