Estoy buscando implementar httpOnly en mis sitios clásicos de ASP heredados. ¿Alguien sabe cómo hacerlo?¿Cómo se configuran las cookies de httpOnly en ASP Classic?
Respuesta
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
Otras opciones como expires
, path
y secure
pueden añadirse también de esta manera. No conozco ninguna forma mágica de cambiar toda tu colección de cookies, pero podría estar equivocado al respecto.
Debe agregar "; HttpOnly" a la colección de cookies de respuesta.
HttpOnly hace muy poco para mejorar la seguridad de las aplicaciones web. Por un lado, solo funciona en IE (Firefox "lo admite", pero aún divulga cookies a Javascript en algunas situaciones). Por otro lado, solo previene un ataque "drive-by" contra su aplicación; no hace nada para evitar que un ataque de script entre sitios restablezca las contraseñas, cambie las direcciones de correo electrónico o realice pedidos.
¿Lo debería usar? Por supuesto. No va a hacerte daño. Pero hay 10 cosas que debes estar seguro de que estás haciendo antes de empezar a jugar con HttpOnly.
Sí, lo sé. Pero agregar una capa más de protección nunca duele. –
No creo que esto sea cierto ahora en 2012 – Philluminati
Si ejecuta sus páginas ASP clásicas en IIS 7/7.5, puede usar el módulo de reescritura de URL de IIS para escribir una regla para hacer que sus cookies sean HTTPOnly.
pegue lo siguiente en la sección de su web.config:
<rewrite>
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
Vea aquí los detalles: http://forums.iis.net/t/1168473.aspx/1/10
Para el fondo, HTTPOnly Las cookies son necesarias por razones de cumplimiento de PCI. Los usuarios de estándares PCI (para la seguridad de la tarjeta de crédito) le hacen tener HTTPOnly en sus cookies de sessionID al menos para ayudar a prevenir ataques XSS.
Además, en este momento (2-11-2013), todos los principales navegadores admiten la restricción HTTPOnly en las cookies. Esto incluye las versiones actuales de IE, Firefox, Chrome y Safari.
Consulte aquí para obtener más información sobre cómo funciona esto y el apoyo de diversas versiones de navegadores: https://www.owasp.org/index.php/HTTPOnly
Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""
- 1. ¿Cómo se configuran las cookies HttpOnly en tomcat/java webapps?
- 2. ¿Cómo se eliminan las cookies de HttpOnly?
- 3. ¿Cómo se configuran las httpOnlyCookies en ASP.NET?
- 4. ¿Qué navegadores admiten las cookies de HttpOnly?
- 5. Desbordamiento en ASP Classic
- 6. ¿Cómo se configura el uso de cookies HttpOnly en PHP
- 7. classic asp cint
- 8. Cookie.HTTPSólo en el clásico ASP
- 9. Prueba automática de Classic ASP
- 10. Cómo habilitar ASP classic en IIS7.5
- 11. cómo pruebo el indicador de cookies httpOnly
- 12. Anti XSS y Classic ASP
- 13. Classic ASP pregunta super novato
- 14. Obtener variables de entorno en Classic ASP
- 15. IIS Express y Classic ASP
- 16. Agregue el atributo 'HttpOnly' a todas las cookies de sesión
- 17. Cómo cargar archivos con asp-classic
- 18. Forzar cookies HttpOnly con JRun/ColdFusion
- 19. ¿Cómo se obtienen y configuran las cookies en Zope y Plone?
- 20. configuración de cookies con indicadores HTTPOnly en codeigniter
- 21. ¿Cómo funcionan las cookies de HttpOnly con las solicitudes de AJAX?
- 22. ¿Con qué usuarios hace classic asp?
- 23. ¿IIS Express es compatible con ASP Classic?
- 24. Configuración de HTTPONLY para la cookie de la sesión de Asp clásica
- 25. ¿Cómo se configuran las cadenas en mayúsculas/minúsculas en Unicode?
- 26. ASP clásico: ASPSESSIONID múltiple en cookies
- 27. Depurador en línea incorrecta al depurar Classic Asp
- 28. ¿Es posible que un ataque XSS obtenga cookies HttpOnly?
- 29. ¿es posible emitir dynamic include en asp-classic?
- 30. ¿Cómo se configuran las opciones de compilación predeterminadas para XE2?
No está claro, un poco de código sería grande –