web.config中的HttpCookie.HttpOnly属性

最新推荐文章于 2018-10-12 21:24:45 发布
最新推荐文章于 2018-10-12 21:24:45 发布
阅读量1.5k 收藏
点赞数
文章标签: c# web.xml javascript ViewUI

Abstract:

The program does not set the HttpCookie.HttpOnly property to true.

Explanation:

The default value for the httpOnlyCookies attribute is false, meaning that the cookie is accessible through a client-side script.

This is an unnecessary cross-site scripting threat, resulting in stolen cookies. Stolen cookies can contain sensitive information

identifying the user to the site, such as the ASP.NET session ID or forms authentication ticket, and can be replayed by the

attacker in order to masquerade as the user or obtain sensitive information.

Example 1: Vulnerable configuration:

<configuration>

<system.web>

<httpCookies httpOnlyCookies="false">

Recommendations:

Microsoft Internet Explorer version 6 Service Pack 1 and later supports a cookie property, HttpOnly, that can help mitigate crosssite

scripting threats that result in stolen cookies. Stolen cookies can contain sensitive information identifying the user to the site,

such as the ASP.NET session ID or forms authentication ticket, and can be replayed by the attacker in order to masquerade as the

user or obtain sensitive information. When an HttpOnly cookie is received by a compliant browser, it is inaccessible to clientside

script.

Example 2: Here see the secure configuration. Any cookie marked with this property will be accessible only from server-side

code, and not to any client-side scripting code like JavaScript or VBScript. This shielding of cookies from the client helps to

protect Web-based applications from cross-site scripting attacks. A hacker initiates a cross-site scripting (also called CSS or

XSS) attack by attempting to insert his own script code into the Web page to get around any application security in place. Any

page that accepts input from a user and echoes that input back is potentially vulnerable.

<configuration>

<system.web>

<httpCookies httpOnlyCookies="true">

Tips:

1. It is possible to enable HttpOnly programmatically on any individual cookie by setting the HttpOnly property of the

HttpCookie object to true. However, it is easier and more reliable to configure the application to automatically enable HttpOnly

for all cookies. To do this, set the httpOnlyCookies attribute of the httpCookies element to true.

2. Setting the HttpOnly property to true does not prevent an attacker with access to the network channel from accessing the

cookie directly. Consider using Secure Sockets Layer (SSL) to help protect against this. Workstation security is also important,

as a malicious user could use an open browser window or a computer containing persistent cookies to obtain access to a Web site

with a legitimate user's identity.

weixin_34370347
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Asp.net Web.Config - 配置元素 httpCookies
07-04 279
Asp.net Web.Config - 配置元素 httpCookies 1、属性 属性说明 domain 可选的String属性。 设置 Cookie 域名。 httpOnlyCookies ...
HttpCookie.HttpOnly VS Cookie.HttpOnly?(downmoon原创)
dfdfadsf3443的博客
09-11 107
网站的Cookie管理除了限定Domain增强安全性之外,.net 2.0新增一个Cookie属性HttpOnly。很棒! 在做一个cookie功能时用到了Cookie的一个属性HttpOnly Code HttpCookiea=newHttpCookie("TestName","TestValue"); a.Domain=".test.com"; a.Ht...
系统安全--csrf攻击、为关键cookie设置httpOnly属性(防止xss攻击)安全问题
wuqinghua_1016的专栏
10-12 7547
为关键cookie设置httpOnly属性 首先,设置了HttpOnly属性的cookie变量无法被js获取,而XSS就是在别人的应用程序恶意执行一段JS以窃取用户的cookie,所以为关键Cookie设置HttpOnly属性可以有效防止XSS攻击(Cross Site Scripting  跨站脚本攻击)。 但实际有很多Cookie需要给前端JS使用,因此一般的安全问题只需要关注关键Co...
Web.config文件关于Cookie安全性的考量和设置
weixin_30293079的博客
05-31 1507
cookie的内容,如图所示: HTTPresponseheader: Set-Cookie:<name>=<value>[;<Max-Age>=<age>][;expires=<date>][;domain=<domain_name>]=[;path=<some_path>][;secure]...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
PHP设置Cookie的HTTPONLY属性方法
10-20
HTTPOnly属性是由微软在IE6 SP1首先引入的,目的是限制JavaScript对Cookie的访问。当一个Cookie被设置为HTTPOnly时,JavaScript的Document.cookie API和其他通过JavaScript可以访问Cookie的方法将无法读取或修改这...
完整获取webBrowser1.Document.Cookie取不到HttpOnly的Cookie
06-08
完整获取webBrowser1的Cookie HttpOnly的Cookie
httpwebreqeust读取httponly的cookie方法
08-31
Web开发,Cookie是服务器发送到客户端浏览器并存储的一小块数据,用于跟踪用户状态和存储相关信息。然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,...
WEB跨站脚本和cookie(httponly-cookie设置)安全了解
mike_caoyong的专栏
11-24 7907
【常见Web应用安全问题】 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人
Web.config配置文件详解
12-16 473
花了点时间整理了一下ASP.NET Web.config配置文件的基本使用方法。很适合新手参看,由于Web.config在使用很灵活,可以自定义一些节点。所以这里只介绍一些比较常用的节点。 <?xml version="1.0"?> <!--注意: 除了手动编辑此文件以外,您还可以使用 Web 管理工具来配置应用程序的设置。可以使用 Visual St...
Cookie设置HttpOnly,Secure,Expire属性
热门推荐
怀揣梦想,努力前行
05-29 8万+
eclipese创建Web工程时,有个
常用Web开发语言HttpOnly设置详解
mituan1234567的专栏
07-03 4664
http://www.2cto.com/kf/200905/38080.html by:Neeao Http://www.neeao.com 2009-05-11 ———————————– 关于HttpOnly对于防范XSS来获取 cookies信息的分析,请参考剑心同学写的:利用httponly提升应用程序安全性,这里仅把常用的一些Web开发语言的设置方法整理总结下,备
Asp.netweb.config配置文件详解
了空
11-08 3万+
web.config是一个XML文件,用来储存Asp.net Web应用程序的配置信息,包括数据库连接字符、身份安全验证等,可以出现在Asp.net Web应用程序服务器上的任何目录,每个Web.config将配置设置应用到它所在的目录及虚拟子目录下,子目录的设置可以随意重写或修改在父目录指定的设置。该文件不需要重启服务就可以生效。 Asp.net网站IIS启动时会加载配置文件的配置信息
网站安全之设置HttpOnly的方法
owen_william的博客
03-26 1万+
1.  问题说明      如果我们为Cookie设置HttpOnly属性,那么就可以防止系统有Cookie的信息泄露。比如,我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了,就可能对系统的安全造成威胁了。 2.  解决办法 在Tomcat下的conf的web.xml加入如下信息
如何在Cookie设置HttpOnly属性为true
最新发布
05-25
要在Cookie设置HttpOnly属性为true,可以使用以下方式之一: 1. 在服务器端设置HttpOnly属性: 在创建Cookie时,将HttpOnly属性设置为true即可。例如,在Java Servlet,可以使用以下代码: ```java Cookie ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值