asp程序之“会话Cookie中缺少HttpOnly属性”

最新推荐文章于 2024-04-03 14:39:18 发布
最新推荐文章于 2024-04-03 14:39:18 发布
阅读量358 收藏
点赞数 2
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang178yang/article/details/137006929
版权

先在URL重新模块添加服务器变量:

添加变量名:Add HttpOnly

网站根目录web.config添加如下规则:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
  <rewrite>
        <outboundRules>
            <rule name="Add HttpOnly" preCondition="No HttpOnly">
                <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
                <action type="Rewrite" value="{R:0}; HttpOnly" />
                <conditions>
                </conditions>
            </rule>
            <preConditions>
                <preCondition name="No HttpOnly">
                    <add input="{RESPONSE_Set_Cookie}" pattern="." />
                    <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
                </preCondition>
            </preConditions>
        </outboundRules>
</rewrite>
</system.webServer>
</configuration>

验证是否已完成修复(如果才访问过,需要先清除才会显示):

备注:在虚拟主机中测试只在网站根目录中添加这个web.config文件效果也一样

大海哪蓝
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Session CookieHttpOnly和secure属性
10-29
如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,...
安全检测:会话cookie缺少HttpOnly属性
qq_37432174的博客
01-02 6239
安全测试时,有时会检查出检测到会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
检测到会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 1518
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
会话cookie 缺少 HttpOnly 属性安全漏洞原理和解决方案
日拱一卒无有尽,功不唐捐终入海
12-16 1万+
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookieHttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie
会话 cookie 缺少HttpOnly 属性 的问题
gtlishujie的博客
07-25 2万+
最近公司网站遭受攻击,请了专业的公司给做漏洞扫描,其有一个漏洞问为“会话 cookie 缺少HttpOnly 属性”,针对这个问题扫描公司给了相应的处理方法。方法如下: 在应用程序测试过程,检测到所测试的 Web 应用程序设置了不含 “HttpOnly属性会话 cookie。由于此会话 cookie 不包含“HttpOnly属性,因此 注入站点的恶意脚本可能访问此 cookie
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2042
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
ASP.NET Cookie是怎么生成的(推荐)
10-15
ASP.NET框架Cookie主要用于存储用户会话信息,如身份验证数据。当我们谈论ASP.NET Cookie的生成时,我们实际上是在讨论如何在用户登录成功后创建和设置一个安全的、可验证的身份验证Cookie。这个过程涉及到多...
asp.net下cookies的丢失和文乱码
10-30
5. **IIS配置问题**:在IIS环境下,某些特殊的配置可能导致Cookies行为异常,例如应用程序池回收策略、会话状态存储等。 ##### 解决方案: 1. **确保适当的生命周期管理**:合理设置`Expires`和`MaxAge`属性,避免...
揭开ASP.NETCookie编程的奥秘
01-16
ASP.NETCookie编程是一个关键的概念,用于实现Web应用程序的状态管理。Cookie允许开发者在用户浏览器和Web服务器之间传递信息,为用户提供个性化的体验。以下是对Cookie编程的深入探讨: **Cookie的定义和...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
IIS - 会话cookie缺少HttpOnly属性
热门推荐
简单记录一下。
09-09 20万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选节点,将httpOnlyCookies设置为true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnly 在Web.config添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
Django检测到会话cookie缺少HttpOnly属性手工复现
最新发布
骑上单车去旅行的博客
04-03 1175
会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);
HttpOnly的设置
willie_chen的专栏
08-02 2万+
描述: 1.会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高...
Web项目:会话Cookie缺少HttpOnly属性和secure属性
Agonie_25的博客
08-23 1万+
会话Cookie不含有HttpOnly属性和secure属性时,注入站点的恶意脚本可能访问此Cookie,并窃取它的值。任何存储在会话令牌的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。 基本上,cookie 的唯一必需属性是“name”字段。常见的可选属性如下:“comment”、“domain”、“path”,等等。必须相应地设置“HttpOnly属性,才能防止会话 cookie...
会话cookie缺少HttpOnly属性 解决
weixin_34050519的博客
01-17 1278
会话cookie缺少HttpOnly属性 解决   只需要写一个过滤器即可 1 package com.neusoft.streamone.framework.security.filter; 2 3 import java.io.IOException; 4 5 import javax.servlet.Filter; 6 import javax.servlet.Fi...
如何在Cookie设置HttpOnly属性为true
05-25
要在Cookie设置HttpOnly属性为true,可以使用以下方式之一: 1. 在服务器端设置HttpOnly属性: 在创建Cookie时,将HttpOnly属性设置为true即可。例如,在Java Servlet,可以使用以下代码: ```java Cookie cookie = new Cookie("name", "value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 2. 在前端使用JavaScript设置HttpOnly属性: 如果需要在前端使用JavaScript设置HttpOnly属性,可以通过创建一个新的Cookie来实现。例如: ```javascript document.cookie = "name=value; HttpOnly"; ``` 注意:只有在使用HTTPS协议时,才能设置HttpOnly属性。因为在HTTP协议下,Cookie数据是以明文形式传输的,容易被拦截和窃取。而使用HTTPS协议,则可以通过加密传输来保护Cookie数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大海哪蓝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值