有没有人知道如何在经典的ASP会话cookie上设置HTTPONLY?
这是在漏洞扫描中被标记的最后一件事,需要尽快修复,所以任何帮助都不胜感激。
~~~一些关于我的问题的更多信息~~~
有人可以帮我这个吗?
我需要知道如何在默认情况下创建的ASPSESSION cookie中设置HTTPONLY从ASP& IIS。
如果需要,我可以在网站上的所有Cookie上设置HTTPONLY。
任何关于如何做到这一点的帮助将被大量赞赏。
谢谢
谢谢
埃利奥特
解决方法
Microsoft包括使用ISAPI过滤器的所有出站Cookie的示例:
http://msdn.microsoft.com/en-us/library/ms972826
或URL重写可以使用http://forums.iis.net/p/1168473/1946312.aspx
<rewrite>
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
