我希望在我的传统ASP经典网站中实现httpOnly.谁知道怎么做?
如果在IIS 7/7.5上运行经典ASP网页,则可以使用IIS URL重写模块编写规则以使您的cookie成为HTTPOnly.
将以下内容粘贴到web.config的部分:
详情请见:http://forums.iis.net/t/1168473.aspx/1/10
对于后台,出于PCI合规性原因,需要HTTPOnly cookie.PCI标准人员(用于信用卡安全)使您至少在您的sessionID cookie上拥有HTTPOnly,以帮助防止XSS攻击.
此外,在当前时间(2-11-2013),所有主要浏览器都支持对Cookie的HTTPOnly限制.这包括IE,Firefox,Chrome和Safari的当前版本.
有关各种浏览器版本如何工作和支持的详细信息,请参阅此处:https: //www.owasp.org/index.php/HTTPOnly
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
其他选项如expires,path也secure可以这种方式添加.我不知道有什么神奇的方法可以改变你的整个cookies系列,但我可能错了.
京公网安备 11010802040832号 | 京ICP备19059560号-6 