私は従来のASPクラシックサイトでhttpOnlyを実装しようとしています。 誰でもその方法を知っていますか?どのように正確にASPクラシックでhttpOnly Cookieを設定しますか?
答えて
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
他のオプションも、この方法で追加することができます。あなたの全体のクッキーコレクションを変更する魔法の方法はわかりませんが、私はそれについて間違っている可能性があります。
"; HttpOnly"をレスポンスCookieコレクションに追加する必要があります。 expires
、path
とsecure
などの
Webアプリケーションのセキュリティを向上させるためにHttpOnlyはほとんど機能しません。 1つは、IE(Firefoxはそれをサポートしていますが、いくつかの状況ではまだJavascriptにクッキーを公開しています)だけです。別のこととして、アプリケーションに対する「ドライブバイ」攻撃を防ぐだけです。パスワードのリセット、電子メールアドレスの変更、または発注からのクロスサイトスクリプティング攻撃を防ぎます。
使用してください。確かに。それはあなたを傷つけることはありません。しかし、あなたがHttpOnlyを使いこなす前に、あなたがしていることを確かめるべき10のことがあります。
素晴らしいことだ、明確ではありませんはい、私は知っています。しかし、もう一つの保護層を追加することは決して痛みません。 –
2012年にこれが真実だとは思わない – Philluminati
IIS 7/7.5でClassic ASP Webページを実行する場合は、IIS URL書き換えモジュールを使用してCookie HTTPOnlyを作成するルールを作成できます。
あなたのweb.configファイルのセクションに次のように貼り付けます。
<rewrite>
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
詳細はこちらをご覧ください:背景についてはhttp://forums.iis.net/t/1168473.aspx/1/10
、HTTPのみクッキーがPCIコンプライアンス上の理由から必要とされています。 PCI規格の人々(クレジットカードのセキュリティー)は、XSS攻撃を防ぐために最低限、あなたのsessionIDクッキーにHTTPOnlyを持たせます。
また、現時点(2-11-2013)では、すべての主要ブラウザがCookieに対するHTTPOnlyの制限をサポートしています。これには、現在のバージョンのIE、Firefox、Chrome、Safariが含まれます。
これは、さまざまなブラウザのバージョンによって動作し、支援方法についての詳細はこちらをご覧ください: https://www.owasp.org/index.php/HTTPOnly
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""
- 1. クラシックASPをどのようにデバッグしますか?
- 2. HttpOnly CookieはAJAXリクエストとどのように機能しますか?
- 3. ASP.NETでhttpOnlyCookiesをどのように正確に設定しますか?
- 4. Ruby on RailsのCookieにHttpOnlyフラグを設定するにはどうすればいいですか?
- 5. クラシックASPでコレクションをトラバースするにはどうすればよいですか?
- 6. Jquery Ajax CORS + HttpOnly Cookie
- 7. Jboss 5. HttpOnlyセッションCookie
- 8. httponly cookieがJavascriptに存在するかどうか確認してください
- 9. 古いクラシックASPページから新しいASP.NETウェブフォームページに301リダイレクトを設定する
- 10. クラシックASPのマルチスレッド
- 11. アプリケーションでhttponlyが設定されているかどうかを確認するには
- 12. クラシックASP
- 13. キーを設定したasp cookieの設定が無効になる
- 14. iframeにCookieを設定するにはどうすればよいですか? Facebook Cookieの仕組み
- 15. VBScript/ASPでのパラメータの設定クラシックとADO
- 16. ログインCookieを設定して確認しますか?
- 17. ASPクラシックのカレンダー
- 18. のVBScript/ASPクラシック
- 19. クラシックASPのページング
- 20. クラシックASPのテーブルソーター
- 21. クラシックasp仮想フォルダの下でアプリケーションとしてMVC3を設定する - IIS7
- 22. bindingnameはどのように正確に動作しますか?
- 23. IEEE 754:どのように正確に機能しますか?
- 24. クラシックASP統合セキュリティ
- 25. クラシックASPリダイレクトタイトル発行
- 26. どのようにしてCookieを保護できますか?
- 27. クラシックASP + Javascript
- 28. クラシックAsp server.scriptTimeout replacement
- 29. クラシックASP Webサーバー
- 30. クラシックASP:キャプチャエラー
それはコードのビットは –