37
Inspirado en este artículo de CodingHorror, "Protecting Your Cookies: HttpOnly"¿Cómo se configuran las httpOnlyCookies en ASP.NET?
¿Cómo se establece esta propiedad? En algún lugar de la configuración web?
A
Respuesta
49
Si está utilizando ASP.NET 2.0 o superior, puede encenderlo en el archivo Web.config. En la sección system.web < >, agregue la siguiente línea:
<httpCookies httpOnlyCookies="true"/>
10
Con accesorios para Rick (segundo comentario en la entrada del blog mencionada), aquí está el MSDN article en httpOnlyCookies.
El fondo es que sólo tiene que añadir la siguiente sección en su sección system.web en su web.config:
<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />
+7
Por cierto, no uses domain = "String", ya sea configurando un dominio válido o dejando ese atributo. –
+0
@JonGalloway Gracias por la captura, actualicé el código en consecuencia. –
+0
@ Dillie-O, ¿qué puede hacer que este elemento se bloquee? cuando lo configuro en mi archivo web.config, aparece el siguiente error "el elemento httpcookies se ha bloqueado en una configuración de nivel superior" – StackTrace
7
Si desea hacerlo en código, utilice la propiedad System.Web.HttpCookie.HttpOnly.
Esto es directamente de la documentación de MSDN:
// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);
Hacerlo en código le permite elegir selectivamente qué cookies son HttpOnly y cuáles no lo son.
3
Interesantemente poner <httpCookies httpOnlyCookies="false"/> no parece deshabilitar httpOnlyCookies en ASP.NET 2.0. Consulte este artículo sobre SessionID and Login Problems With ASP .NET 2.0.
Parece que Microsoft tomó la decisión de no permitirle desactivarlo desde el archivo web.config. Comprueba esto post on forums.asp.net
Cuestiones relacionadas
- 1. ¿Cómo se configuran las cadenas en mayúsculas/minúsculas en Unicode?
- 2. ¿Cómo se configuran las cookies de httpOnly en ASP Classic?
- 3. ¿Cómo se configuran las cookies HttpOnly en tomcat/java webapps?
- 4. ¿Cómo se configuran las opciones de compilación predeterminadas para XE2?
- 5. ¿Cómo se configuran los juegos iOS?
- 6. Emacs: ¿Cómo se maneja inteligentemente el buffer modificado cuando se configuran las propiedades del texto?
- 7. ¿Cómo se configuran los permisos de directorio en NSIS?
- 8. ¿Cómo se configuran las dependencias predeterminadas para todos los subproyectos en SBT?
- 9. ¿Cómo se obtienen y configuran las cookies en Zope y Plone?
- 10. ¿Cómo se configuran las banderas del compilador g ++ usando Rcpp y en línea?
- 11. ¿Cómo se configuran las secuencias de comandos de Python para que funcionen en Apache 2.0?
- 12. ASP.NET: cómo se procesan las solicitudes paralelas
- 13. ¿Qué hacen los operadores% y %% cuando configuran las dependencias SBT?
- 14. Las variables de sesión no se configuran, pero solo en Internet Explorer y no en todas las máquinas
- 15. ¿Cómo se evitan las vulnerabilidades XSS en ASP.Net (MVC)?
- 16. Sinatra y variables de sesión que no se configuran
- 17. FSEvents banderas archivos se configuran independientemente de las opciones de creación de flujo de eventos
- 18. ¿Cómo se configuran automáticamente los puntos de interrupción en todos los métodos en XCode?
- 19. cómo eliminar las cookies en asp.net
- 20. ¿Cómo se configuran los valores de una matriz a los valores de otra matriz en Java?
- 21. ¿Cómo se configuran solo ciertos bits de un byte en C sin afectar el resto?
- 22. ¿Cómo se configuran los encabezados en la solicitud de obtención de http?
- 23. ¿Cómo se configuran (unix) los permisos al crear un archivo en SAP ABAP?
- 24. Es ASP.NET multiproceso (cómo se ejecutan las solicitudes)
- 25. ¿cómo se actualizan las referencias en las aplicaciones ASP.NET sin Visual Studio?
- 26. ¿Cómo se configuran los iconos de QToolButton con la hoja de estilos?
- 27. ¿Cómo limitar el número de eventos de cambio cuando se configuran múltiples atributos?
- 28. ¿Cómo se configuran los archivos de configuración específicos de la configuración de la solución?
- 29. ¿Cómo se configuran los campos de encabezado Accept y Accept-Language?
- 30. ¿Cómo se configuran los servicios de WCF a través de HTTPS sin enlace HTTP?
Esto no funciona para mí. Intenté "
@rolls Tengo el mismo problema. ¿Encontraste una solución o causa? – Neothor
Sí, lo hice en el código. Verifique las respuestas a continuación. – rolls