Установка HTTPONLY для классических сеансовых куки Asp
Кто-либо знает точно, как установить HTTPONLY на классических сеансовых куки ASP?
Это - заключительная вещь, это было отмечено на сканировании уязвимости и потребностях, устраняющих ASAP, таким образом, любая справка ценится.
~~~ НЕМНОГО БОЛЬШЕ ИНФОРМАЦИИ О МОЕЙ ПРОБЛЕМЕ ~~~
Кто-либо может помочь мне с этим?
Я должен знать, как установить HTTPONLY на cookie ASPSESSION, созданном по умолчанию из ASP & IIS.
Это - cookie, автоматически созданный сервером для всех страниц ASP.
В случае необходимости я могу установить HTTPONLY на всем cookie через сайт.
Любая справка о том, как сделать это, в широком масштабе ценилась бы.
Спасибо
Спасибо Elliott
2 ответа
На этой странице содержится много информации, имеющей отношение к вашей проблеме.
.NET 1.1 не добавляет HttpOnly , потому что он еще не был изобретен.
Если ваше приложение будет работать под .NET 2.0 (я переместил несколько классических сайтов ASP на 2.0 практически без изменений) HttpOnly установлен по умолчанию.
Если я правильно его понял, вы можете получить файл cookie сеанса и добавить ; HttpOnly; к нему. Он приводит пример java:
String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");
Наконец, он предлагает:
если изменение кода невозможно, можно использовать брандмауэры веб-приложений для добавления HttpOnly в файлы cookie сеанса
Отредактировано для добавления: тем, кто думает о миграции в .NET (который может поддерживать большую часть классического кода ASP без изменений) слишком радикальное изменение, чтобы получить такую небольшую функцию, мой опыт использования фильтров ISAPI показывает, что они тоже могут быть серьезной проблемой, а в некоторых распространенных ситуациях (общий хостинг ) вы вообще не можете их использовать.
Response.AddHeader "Set-Cookie", "CookieName=CookieValue; path=/; HttpOnly"