Как точно Вы настраиваете httpOnly Cookie в Классике ASP?
Как будто вы пытаетесь получить доступ к объекту, который является null. Рассмотрим ниже пример:
TypeA objA;
. В это время вы только что объявили этот объект, но не инициализировали или не инициализировали. И всякий раз, когда вы пытаетесь получить доступ к каким-либо свойствам или методам в нем, он будет генерировать NullPointerException, что имеет смысл.
См. Также этот пример:
String a = null;
System.out.println(a.toString()); // NullPointerException will be thrown
3 ответа
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
Другие опции как expires, path и secure может быть также добавлен таким образом. Я не знаю ни о каком волшебном способе изменить Ваш целый набор cookie, но я мог быть неправ относительно этого.
Необходимо добавить"; HttpOnly" к набору cookie Ответа.
HttpOnly делает очень мало для улучшения безопасности веб-приложений. С одной стороны, это только работает в IE (Firefox "поддерживает" его, но все еще раскрывает cookie JavaScript в некоторых ситуациях). Для другой вещи это только предотвращает нападение "на автомобиле" на Ваше приложение; это не делает ничего, чтобы помешать атаке с использованием кросс-сайтовых сценариев изменять пароли, изменяя адреса электронной почты, или размещая заказы.
Необходимо ли использовать его?Конечно. Это не собирается причинять Вам боль. Но существует 10 вещей, необходимо быть уверены, что делаете, прежде чем Вы начнете смешивать с HttpOnly.