ASP网站被检测到此漏洞：会话Cookie中缺少HttpOnly属性这个怎处理？

horvin 2017-01-04 12:18:46

如题。ASP网站被检测到此漏洞：会话Cookie中缺少HttpOnly属性这个怎处理？

...全文

3377 5 打赏收藏转发到动态举报

写回复

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

阿贝儿儿 2018-08-24

打赏
举报

回复

在首页中加入了 Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly" 这个代码代码前后加<%%>但是还是检测出 Cookie没有HttpOnly标志,请高手指点一下是什么原因

Go 旅城通票 2017-01-06

打赏
举报

回复

引用 3 楼 horvin 的回复:

[quote=引用 1 楼 showbo 的回复:] asp如何设置httponly cookie

<% '************************************************** 'ASP 中输出httponly cookie IE6.0以上浏览器支持 'WDFrog '2009-04-15 '<meta http-equiv="Content-Type" content="text/html; charset=gb2312″> '************************************************** '———-SetHttpOnlyCookie—————————————- '功能:设置HttpOnly Cookie '参数:expDate 为保到期， 0表示不设置，设置为过去某一时间表示清除 '参数:domain 为空(string.Empty)表示不设置 '——————————————————————- Function SetHttpOnlyCookie(cookieName,cookieValue,domain,path,expDate) Dim cookie cookie=cookieName & "=" & Server.URLEncode(cookieValue) & "; path=" & path If expDate <> 0 Then cookie=cookie & "; expires=" & DateToGMT(expDate) End If If domain <> "" Then cookie=cookie & "; domain=" & domain End If cookie=cookie & "; HttpOnly" Call Response.AddHeader ("Set-Cookie", cookie) End Function '————-getGMTTime———— '参数: sDate 需要转换成GMT的时间 '——————————— Function DateToGMT(sDate) Dim dWeek,dMonth Dim strZero,strZone strZero="00″ strZone="+0800″ dWeek=Array("Sun","Mon","Tue","Wes","Thu","Fri","Sat") dMonth=Array("Jan","Feb","Mar","Apr","May","Jun","Jul","Aug","Sep","Oct","Nov","Dec") DateToGMT = dWeek(WeekDay(sDate)-1)&", "&Right(strZero&Day(sDate),2)&" "&dMonth(Month(sDate)-1)&" "&Year(sDate)&" "&Right(strZero&Hour(sDate),2)&":"&Right(strZero&Minute(sDate),2)&":"&Right(strZero&Second(sDate),2)&" "&strZone End Function '示例 Call SetHttpOnlyCookie("cookieOnly1″,"onlyValue",".gyzs.com","/",0) %> 此段如何使用，放在哪个位置或文件[/quote] 你在哪生成cookie的，改用SetHttpOnlyCookie来生成

horvin 2017-01-05

打赏
举报

回复

引用 1 楼 showbo 的回复:

asp如何设置httponly cookie

<% '************************************************** 'ASP 中输出httponly cookie IE6.0以上浏览器支持 'WDFrog '2009-04-15 '<meta http-equiv="Content-Type" content="text/html; charset=gb2312″> '************************************************** '———-SetHttpOnlyCookie—————————————- '功能:设置HttpOnly Cookie '参数:expDate 为保到期， 0表示不设置，设置为过去某一时间表示清除 '参数:domain 为空(string.Empty)表示不设置 '——————————————————————- Function SetHttpOnlyCookie(cookieName,cookieValue,domain,path,expDate) Dim cookie cookie=cookieName & "=" & Server.URLEncode(cookieValue) & "; path=" & path If expDate <> 0 Then cookie=cookie & "; expires=" & DateToGMT(expDate) End If If domain <> "" Then cookie=cookie & "; domain=" & domain End If cookie=cookie & "; HttpOnly" Call Response.AddHeader ("Set-Cookie", cookie) End Function '————-getGMTTime———— '参数: sDate 需要转换成GMT的时间 '——————————— Function DateToGMT(sDate) Dim dWeek,dMonth Dim strZero,strZone strZero="00″ strZone="+0800″ dWeek=Array("Sun","Mon","Tue","Wes","Thu","Fri","Sat") dMonth=Array("Jan","Feb","Mar","Apr","May","Jun","Jul","Aug","Sep","Oct","Nov","Dec") DateToGMT = dWeek(WeekDay(sDate)-1)&", "&Right(strZero&Day(sDate),2)&" "&dMonth(Month(sDate)-1)&" "&Year(sDate)&" "&Right(strZero&Hour(sDate),2)&":"&Right(strZero&Minute(sDate),2)&":"&Right(strZero&Second(sDate),2)&" "&strZone End Function '示例 Call SetHttpOnlyCookie("cookieOnly1″,"onlyValue",".gyzs.com","/",0) %> 此段如何使用，放在哪个位置或文件

horvin 2017-01-05

打赏
举报

回复

引用 1 楼 showbo 的回复:

asp如何设置httponly cookie

你好，此代码放在哪里。

Go 旅城通票 2017-01-04

打赏
举报

回复

asp如何设置httponly cookie

一、属性说明： 1 secure属性当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。对于以上两个属性，首先，secure属性是防止信息在传递的过程中被监听捕获后信息泄漏，HttpOnly属性的目的是防止程序获取cookie后进行攻击。其次，GlassFish2.x支持的是servlet2.5，而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。也就是说两个属性，并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。二、实例项目架构环境：jsp+servlet+applet

安全测试时，有时会检查出检测到会话cookie中缺少HttpOnly属性；刚开始听到，就觉得怎么HttpOnly怎么这么耳熟，想了想，cookie中缺少HttpOnly，别人就可以进行XSS攻击，就是跨站脚本攻击，然后了？也许我看过，但我又给忘，好气啊，学艺不精，菜的真实，赶紧百度一下，这次记录一下，等等，貌似我以前有篇博客里有提到HttpOnly,我靠，突然嫌弃自己。什么是HttpOnly?...

解决方案01：在会话cookie中添加HttpOnly属性具体操作步骤如下： HttpServletResponse response2 = (HttpServletResponse)response; response2.setHeader( "Set-Cookie", "name=value; HttpOnly"); 解决方案02（建议使用）：在会话cookie中添加HttpOnly属...

不啰嗦，我们直接开始！先进行常规设置打开配置编辑器选中图中节点，将httpOnlyCookies设置为true 然后。。。不起作用。。。换种方式通过配置出站规则getcookie添加HttpOnly 在Web.config中添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.

详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息，造成用户cookie信息泄露，增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展，该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...

28,391

社区成员

357,059

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章