Réglage HTTPONLY Asp Classique de Cookie de Session
Personne ne sait exactement comment définir HTTPONLY classique ASP cookies de session?
C'est la dernière chose qui a été signalé dans une analyse de la vulnérabilité et des besoins de fixation le plus tôt possible, de sorte que toute aide est très appréciée.
~~~UN PEU PLUS D'INFORMATIONS SUR MON PROBLÈME~~~
Quelqu'un peut m'aider avec ça?
J'ai besoin de savoir comment mettre en HTTPONLY sur le ASPSESSION cookie créé par défaut à partir d'ASP & IIS.
C'est le cookie créé automatiquement par le serveur pour toutes les pages asp.
Si besoin je peux mettre HTTPONLY sur tous les cookies sur le site.
Tout sur comment faire ce serait très apprécié.
Grâce
Merci
Elliott
- C'est une bonne question. U ne figure comment le faire?
- quel est la solution que vous avez eu jusqu'à présent ???
Vous devez vous connecter pour publier un commentaire.
Microsoft inclut un exemple d'utilisation d'un filtre ISAPI pour tous les cookies: http://msdn.microsoft.com/en-us/library/ms972826
ou la réécriture d'URL peut être utilisé http://forums.iis.net/p/1168473/1946312.aspx
Si vous avez IIS7 +, vous devez vous assurer que le module de Réécriture d'URL est installé. Vous pouvez l'installer avec le Web Platform Installer. Web Platform Installer, peut être trouvé dans l'affichage des fonctionnalités pour votre site web. Vous devez exécuter le Gestionnaire des services internet en tant qu'administrateur.
Cliquez sur sur le Web Platform Installer dans la vue des fonctionnalités pour votre site web:
Maker assurer la Réécriture d'URL du Serveur est installé le Produit. Si elle ne l'est pas, puis l'installer.
Avec la Réécriture d'URL du Serveur de Produit installé, vous pouvez utiliser la Réécriture d'URL sur votre site web pour ajouter une règle à ajouter HttpOnly pour vos cookies d'identification de Session.
Vous devriez voir, si il n'existe pas déjà, un web.fichier de configuration de la création de votre site ASP. il aura le contenu suivant:
Si vous utilisez Firebug dans Firefox pour inspecter vos cookies, vous devriez maintenant voir le drapeau HttpOnly ensemble:
Source: http://www.asp101.com/tips/index.asp?id=160
J'ai compilé le Microsoft filtre ISAPI exemple. Cela a résolu mon problème.
La DLL ISAPI est ici
N'hésitez pas à télécharger.
Réglage de l'ASP cookie de session comme HttpOnly peut être fait dans le web.config à l'aide de URLrewrite:
Il est également possible d'utiliser URLrewrite à faire tous les cookies HttpOnly /Secure, mais parfois vous avez besoin de cookies pour être lisible en JavaScript, voici donc une collection de fonctions et sous-routines que j'ai écrit il y a un moment pour la création régulière de cookies qui peuvent activer ou désactiver le "HttpOnly" et "Secure":
Exemples:
vieux mais bon, ajouter ceci dans un monde inclus asp :
Cette page a beaucoup d'informations qui sont pertinentes à votre problème.
.NET 1.1 ne pas ajouter de
HttpOnly
parce qu'il n'avait pas encore été inventée.Si votre application s'exécute .NET 2.0 (j'ai déménagé à plusieurs ASP Classique sites 2.0 pratiquement inchangé) HttpOnly est définie par défaut.
Si je lui ai lu à droite, vous pouvez obtenir le cookie de Session et ajouter
; HttpOnly;
à elle. Il donne un exemple java:Enfin, il suggère:
Modifiées afin d'ajouter: à ceux qui pensent que la migration vers .NET (qui peut accueillir plus Classique code ASP inchangé) est trop drastique changement pour obtenir une petite fonctionnalité, mon expérience de filtres ISAPI, c'est qu'ils, trop, peut être une grande douleur, et dans certaines situations courantes (hébergement mutualisé), vous ne pouvez pas les utiliser du tout.