@H_301_1@有没有人知道如何在经典的ASP会话cookie上设置HTTPONLY?
这是在漏洞扫描中被标记的最后一件事,需要尽快修复,所以任何帮助都不胜感激。
~~~一些关于我的问题的更多信息~~~
有人可以帮我这个吗?
我需要知道如何在默认情况下创建的ASPSESSION cookie中设置HTTPONLY从ASP& IIS。
如果需要,我可以在网站上的所有Cookie上设置HTTPONLY。
任何关于如何做到这一点的帮助将被大量赞赏。
谢谢
谢谢
埃利奥特
解决方法
Microsoft包括使用ISAPI过滤器的所有出站Cookie的示例:
http://msdn.microsoft.com/en-us/library/ms972826
或URL重写可以使用http://forums.iis.net/p/1168473/1946312.aspx
<rewrite> <outboundRules> <rule name="Add HttpOnly" preCondition="No HttpOnly"> <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" /> <action type="Rewrite" value="{R:0}; HttpOnly" /> <conditions> </conditions> </rule> <preConditions> <preCondition name="No HttpOnly"> <add input="{RESPONSE_Set_Cookie}" pattern="." /> <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" /> </preCondition> </preConditions> </outboundRules> </rewrite>