Trong dự án web của tôi setting to turn on httpOnlyCookies không có ở đó. Nó là false theo mặc định. Cũng không có chỗ nào trong mã nơi cookie được đặt thành HttpOnly. Tuy nhiên, khi tôi duyệt đến trang web tôi có thể thấy rằng ASP.NET_Session cookie đang được thông qua như HttpOnly. Làm thế nào nó được thiết lập để HttpOnly?HttpOnly được đặt cho cookie ASP.NET_SessionId như thế nào?
6
A
Trả lời
14
Cookie phiên ASP.NET chỉ là HTTP, bất kể cài đặt httpOnlyCookies
được liên kết trong câu hỏi của bạn, vì điều này được ghi vào ASP.NET. Bạn không thể ghi đè điều này.
Nếu bạn thâm nhập vào các lớp System.Web.SessionState.SessionIDManager
trong lắp ráp System.Web mã để tạo cookie ASP.NET phiên trông giống như:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName, id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
1
Đó là HttpOnly để cookie phiên của bạn không thể được sửa đổi bởi các khách hàng với JavaScript.
+0
Chính xác. Tôi biết phần đó. Tôi lặp lại câu hỏi của mình từ "tại sao" đến "nó được đặt như thế nào?" –
Các vấn đề liên quan
- 1. Đặt HTTPONLY cho Cookie phiên ASP cổ điển
- 2. Đặt cookie thành HttpOnly qua Javascript
- 3. Làm cách nào để đặt cookie HttpOnly trong Django?
- 4. Làm cách nào để xóa cookie HttpOnly?
- 5. Trình duyệt nào hỗ trợ cookie HttpOnly?
- 6. đặt cookie với các cờ HTTPOnly trong mã vạch
- 7. Đặt httponly trong cookie JSESSIONID (Java EE 5)
- 8. cờ an toàn và HttpOnly cho cookie phiên Websphere 7
- 9. SessionAuthenticationModule Cookie Handler không tạo HttpOnly an toàn cookie
- 10. Thiết cookie HttpOnly với javax.servlet 2,5
- 11. Buộc cookie HttpOnly với JRun/ColdFusion
- 12. Đổi tên ASP.NET_SessionId
- 13. Thêm thuộc tính 'HttpOnly' vào tất cả cookie phiên
- 14. Làm cách nào để đặt cờ HttpOnly trên cookie trong Ruby on Rails
- 15. httpOnly Session Cookie + Servlet 3.0 (ví dụ: Glassfish v3)
- 16. cookie an toàn asp.net
- 17. Facebook đặt cookie tên miền chéo cho iFrames trên trang canvas như thế nào?
- 18. Cookie được chuyển trong giao thức HTTP như thế nào?
- 19. ASP.NET_SessionId bị thiếu
- 20. Làm cách nào để bạn thiết lập cookie HttpOnly trong PHP
- 21. Làm cách nào để bạn định cấu hình cookie HttpOnly trong ứng dụng web tomcat/java?
- 22. Cookie hoạt động như thế nào trong ASP.NET?
- 23. ASPXAUTH cookie không được lưu
- 24. Cách đặt Cookie trong PHP cho miền
- 25. Làm thế nào để lập trình tên cookie phiên?
- 26. Các phiên PHP có đặt bất kỳ cookie nào không?
- 27. Kiểm tra xem cookie có được đặt
- 28. Xác thực dựa trên cookie hoạt động như thế nào?
- 29. Cờ "An toàn" trên cookie hoạt động như thế nào?
- 30. làm thế nào để bỏ đặt cookie trong PHP?
tìm thấy tài liệu tại đây: http://msdn.microsoft.com/en-us/library/aa480476.aspx "HttpOnly. Thuộc tính này chỉ định liệu cookie có thể được truy cập bằng tập lệnh khách hay không. Trong ASP.NET 2.0, giá trị này luôn được đặt thành true. " –
@dev - Tôi vừa đào sâu vào hệ thống System.Web.dll để xem nhanh :) – Kev
Phần bên phải bên dưới cũng quan trọng. Các trình duyệt cũ hơn không hỗ trợ HttpOnly và có thể bỏ qua cookie hoặc bỏ qua thuộc tính, sau này vẫn để trang web của bạn mở ra các cuộc tấn công XSS. –