28,391
社区成员
发帖
与我相关
我的任务
分享运行环境IIS7.5 ASP程序,安全扫描,会话Cookie中缺少secure属性和会话Cookie中缺少HttpOnly属性 低危风险 应该如何解决?
运行环境IIS7.5 ASP程序,安全扫描,会话Cookie中缺少secure属性和会话Cookie中缺少HttpOnly属性 低危风险 应该如何解决?
...全文
请发表友善的回复…
发表回复
什么都不能 2017-11-15
- 打赏
- 举报
我觉得这纯属扯淡的一条,非要解决可以在IIS前搭建个nignx/haproxy/apache 做反向代理,在规则里配置加上httponly
hookee 2017-10-18
- 打赏
- 举报
HttpOnly也要浏览器支持才有用,查一下 CSRF攻击的内容。
cnbjx 2017-10-11
- 打赏
- 举报
不要太在意,不过建议加上HttpOnly,安全性更好。
ASP因功能限制,直接使用Response.Cookies 是无法加上 httponly ,可直接使用 Response.AddHeader "Set-Cookie" , "" 改造
具体格式为:
Response.AddHeader "Set-Cookie", "sessionname=val; Domain=.163.com; Expires=Wed, 11-Oct-2017 03:45:43 GMT; Path=/;secure;httponly"
参数用 ; 分隔,session值使用 urlencode 编码,上面示例是完整的,假如不要Domain,不加就可以了。
多个session添加多条
Response.AddHeader "Set-Cookie", ""
silandn 2017-10-11
- 打赏
- 举报
一般不用修改。
