有没有人知道如何在经典的ASP会话cookie上设置HTTPONLY?
这是在漏洞扫描中被标记的最后一件事,需要尽快修复,所以任何帮助都不胜感激。
~~~一些关于我的问题的更多信息~~~
有人可以帮我这个吗?
我需要知道如何在默认情况下创建的ASPSESSION cookie中设置HTTPONLY从ASP& IIS。
如果需要,我可以在网站上的所有Cookie上设置HTTPONLY。
任何关于如何做到这一点的帮助将被大量赞赏。
谢谢
谢谢
埃利奥特
解决方法
Microsoft包括使用ISAPI过滤器的所有出站Cookie的示例:
http://msdn.microsoft.com/en-us/library/ms972826
或URL重写可以使用http://forums.iis.net/p/1168473/1946312.aspx
- <rewrite>
- <outboundRules>
- <rule name="Add HttpOnly" preCondition="No HttpOnly">
- <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
- <action type="Rewrite" value="{R:0}; HttpOnly" />
- <conditions>
- </conditions>
- </rule>
- <preConditions>
- <preCondition name="No HttpOnly">
- <add input="{RESPONSE_Set_Cookie}" pattern="." />
- <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
- </preCondition>
- </preConditions>
- </outboundRules>
- </rewrite>
