どのように正確にASPクラシックでhttpOnly Cookieを設定しますか？

Question

私は従来のASPクラシックサイトでhttpOnlyを実装しようとしています。 誰でもその方法を知っていますか？

Answer 1

Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly" 

他のオプションも、この方法で追加することができます。あなたの全体のクッキーコレクションを変更する魔法の方法はわかりませんが、私はそれについて間違っている可能性があります。

Answer 2

"; HttpOnly"をレスポンスCookieコレクションに追加する必要があります。 expires、pathとsecureなどの

Answer 3

Webアプリケーションのセキュリティを向上させるためにHttpOnlyはほとんど機能しません。 1つは、IE（Firefoxはそれをサポートしていますが、いくつかの状況ではまだJavascriptにクッキーを公開しています）だけです。別のこととして、アプリケーションに対する「ドライブバイ」攻撃を防ぐだけです。パスワードのリセット、電子メールアドレスの変更、または発注からのクロスサイトスクリプティング攻撃を防ぎます。

使用してください。確かに。それはあなたを傷つけることはありません。しかし、あなたがHttpOnlyを使いこなす前に、あなたがしていることを確かめるべき10のことがあります。

Answer 4

IIS 7/7.5でClassic ASP Webページを実行する場合は、IIS URL書き換えモジュールを使用してCookie HTTPOnlyを作成するルールを作成できます。

あなたのweb.configファイルのセクションに次のように貼り付けます。

<rewrite> 
    <outboundRules> 
     <rule name="Add HttpOnly" preCondition="No HttpOnly"> 
      <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" /> 
      <action type="Rewrite" value="{R:0}; HttpOnly" /> 
      <conditions> 
      </conditions> 
     </rule> 
     <preConditions> 
      <preCondition name="No HttpOnly"> 
       <add input="{RESPONSE_Set_Cookie}" pattern="." /> 
       <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" /> 
      </preCondition> 
     </preConditions> 
    </outboundRules> 
</rewrite> 

詳細はこちらをご覧ください：背景についてはhttp://forums.iis.net/t/1168473.aspx/1/10

、HTTPのみクッキーがPCIコンプライアンス上の理由から必要とされています。 PCI規格の人々（クレジットカードのセキュリティー）は、XSS攻撃を防ぐために最低限、あなたのsessionIDクッキーにHTTPOnlyを持たせます。

また、現時点（2-11-2013）では、すべての主要ブラウザがCookieに対するHTTPOnlyの制限をサポートしています。これには、現在のバージョンのIE、Firefox、Chrome、Safariが含まれます。

これは、さまざまなブラウザのバージョンによって動作し、支援方法についての詳細はこちらをご覧ください： https://www.owasp.org/index.php/HTTPOnly

Answer 5

Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""