如何将cookie中HttpOnly属性设置为True?(预防xss攻击)
文章目录
前言
在 cookie 中设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。
为了解决XSS(跨站脚本攻击)的问题,从IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari)所支持。当cookie中的HttpOnly属性被设置为true时,前端脚本JavaScript就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。即便是这样,也不要将重要信息存入cookie。
一、打开IIS
二、点击配置编辑器,点击打开功能
三、点击“节”的下拉按钮
四、找到system.web—HTTPCookie
五、更改httpONLYcookie的属性值
可以看到httpOnlyCookie的属性值是False,将False双击或按右侧下拉按钮修改为True,点击右上角“应用”保存
六、生成web.config
到网站目录中可以看到生成一个文件web.config
七、完成
就这么一段代码,即设置完成了
总结
我们将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。希望各位大佬指点批评。