true the that secure only for flag ensure cookie all security asp-classic httponly

security - the - httponly cookie php



¿Cómo se configuran las cookies de httpOnly en ASP Classic? (5)

Debe agregar "; HttpOnly" a la colección de cookies de Response.

Estoy buscando implementar httpOnly en mis sitios clásicos de ASP heredados. ¿Alguien sabe como hacerlo?


Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"

También se pueden agregar otras opciones como expires , path y secure de esta manera. No conozco ninguna forma mágica de cambiar toda tu colección de cookies, pero podría estar equivocado al respecto.


HttpOnly hace muy poco para mejorar la seguridad de las aplicaciones web. Por un lado, solo funciona en IE (Firefox "lo admite", pero aún divulga cookies a Javascript en algunas situaciones). Por otro lado, solo previene un ataque "drive-by" contra su aplicación; no hace nada para evitar que un ataque de script entre sitios restablezca las contraseñas, cambie las direcciones de correo electrónico o realice pedidos.

¿Deberías usarlo? Por supuesto. No va a hacerte daño. Pero hay 10 cosas que debes estar seguro de que estás haciendo antes de empezar a jugar con HttpOnly.


Si ejecuta sus páginas web ASP clásicas en IIS 7 / 7.5, puede usar el módulo Reescribir URL de IIS para escribir una regla para hacer que sus cookies sean HTTPOnly.

Pegue lo siguiente en la sección de su web.config:

<rewrite> <outboundRules> <rule name="Add HttpOnly" preCondition="No HttpOnly"> <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" /> <action type="Rewrite" value="{R:0}; HttpOnly" /> <conditions> </conditions> </rule> <preConditions> <preCondition name="No HttpOnly"> <add input="{RESPONSE_Set_Cookie}" pattern="." /> <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" /> </preCondition> </preConditions> </outboundRules> </rewrite>

Vea aquí para los detalles: http://forums.iis.net/t/1168473.aspx/1/10

En segundo plano, las cookies HTTPOnly son necesarias para cumplir con los requisitos de PCI. Los usuarios de estándares PCI (para la seguridad de la tarjeta de crédito) lo hacen tener HTTPOnly en sus cookies de sessionID al menos para ayudar a prevenir ataques XSS.

Además, en el momento actual (2-11-2013), todos los principales navegadores admiten la restricción HTTPOnly en las cookies. Esto incluye las versiones actuales de IE, Firefox, Chrome y Safari.

Consulte aquí para obtener más información sobre cómo funciona esto y el soporte de varias versiones de navegador: https://www.owasp.org/index.php/HTTPOnly


Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""