个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我们已为我们的网站启用 HttpOnly。
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>
</configuration>
当我们访问非安全区域的站点时,这工作正常。但在安全实时区域(Https)中,这不起作用,我们能够获取 session key 。如何缓解它。任何想法都会很有帮助。
我正在尝试使用 Asp.Net 2.0
最佳答案
我这里有很多解决方案,伙计。请随意在这些解决方案中进行选择,以满足您的需求
在 Global.asax 中,按如下所示覆盖 Session_Start 方法。
<script runat="server">
void Session_Start(object sender, EventArgs e)
{
if(Response.Cookies.Count > 0)
foreach(string s in Response.Cookies.AllKeys)
if(s == System.Web.Security.FormsAuthentication.FormsCookieName ||
s.ToLower().Equals("asp.net_sessionid") )
Response.Cookies[s].HttpOnly = false;
}
请注意,在 ASP.NET 1.1 中,System.Net.Cookie 类不支持HttpOnly 属性。因此,要添加 HttpOnly 属性您可以将以下代码添加到您的应用程序的 cookie 中
Global.asax 中的 Application_EndRequest 事件处理程序:
protected void Application_EndRequest(Object sender, EventArgs e)
{
string authCookie = FormsAuthentication.FormsCookieName;
foreach (string sCookie in Response.Cookies)
{
if (sCookie.Equals(authCookie))
{
Response.Cookies[sCookie].Path += ";HttpOnly";
}
}
}
引用:http://blogs.msdn.com/b/dansellers/archive/2006/03/13/550947.aspx
将此添加到您的 Global.asax
void Application_EndRequest(Object sender, EventArgs e)
{
if (Response.Cookies.Count > 0)
{
foreach (string s in Response.Cookies.AllKeys)
{
if (s == "ASP.NET_SessionId")
{
Response.Cookies["ASP.NET_SessionId"].HttpOnly = false;
}
}
}
}
引用:来自本论坛http://forums.asp.net/p/955272/1177574.aspx#1177574
您也可以尝试这个帖子HttpOnly Cookies on ASP.NET 1.1作者:Scott Hanselman,但它是 ASP.NET 1.1
关于asp.net - 在 Asp.Net 中安全启用 HTTPOnly,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14807233/
26
4
0
我们有一个使用 OC4J 容器在 Oracle 应用服务器 J2EE 10g 10.1.3.5.0 上运行的旧应用程序。要清除 Veracode 动态扫描缺陷 CWE ID-402(以及最佳实践),我
我已在响应 header Set-Cookie 中设置了 HttpOnly 标志,如下所示 String sessionid = httpReq.getSession().getId(); httpR
我使用的是 Servlet 3.0,我想用 HttpOnly 标志保护我的 cookie。我的 web.xml 是 true
服务器已在浏览器上设置了一个仅限 http 的 cookie uid。我需要找出这个 cookie 是否存在并在我的 javascript 中采取一些行动。我知道 javascript 无法读取 ht
我对 cookie 中的 HTTPOnly 属性有点困惑。我知道它的主要用途是防止 XSS 攻击。让我们假设有一个 Web 应用程序为 cookie 设置了 httponly。为此,我使用了 Fidd
是否可以将 django csrf cookie 设置为仅限 http?同理SESSION_COOKIE_HTTPONLY使用 session cookie,但对于 csrf 呢? 最佳答案 新设置,
有没有办法设置请求 cookie httpOnly ?如果不是为什么我们不能设置它?我已将响应 cookie 设置为 httpOnly 使用 weblogx.xml/weblogic 服务器。 最佳答
哪些浏览器支持 HttpOnly cookie,从哪个版本开始支持? 请参阅http://www.codinghorror.com/blog/archives/001167.html有关 HttpOn
我们使用 JQuery AJAX 登录。登录服务发出 HTTP 302,位置是登录用户的 GET,或者(在登录失败的情况下)始终返回未经授权的 HTTP 状态的 REST 端点。在 302 的同时,我
我在创建 HttpOnly Cookies 时遇到问题,我使用以下代码创建新的 cookie: //A.aspx HttpCookie ht = new HttpCookie("www
我必须为服务器发送的所有 cookie 设置 httpOnly 标志。我的场景是: 使用独立的网络登录登录(我无法访问代码)。 如果成功 -> 重定向到我的 webApp。 我已成功将 httpOnl
我需要在我的java代码中将HttpOnly cookie设置为 session cookie。 为了获取非 HttpOnly cookie,我使用了 Jsoup,但现在却被 HttpOnly coo
我想使用 HttpOnly cookies,我在 Java 中设置如下: ... Cookie accessTokenCookie = new Cookie("token", userToken);
我正在开发我网站的“记住我”功能,我正在使用 session_set_cookie_params 来保持 session 有效,即使用户决定关闭他或她的浏览器也是如此。我遇到的问题是浏览器会删除 co
如果我的应用程序在客户端上放置了 HttpOnly cookie,然后需要删除它们,您如何才能完全删除它们? 最佳答案 您可以在用户访问您的网站时使 cookie 过期,例如: HttpCookie
是否可以删除设置为 HttpOnly:true 的浏览器 cookie? 我的登录端点很简单: async login(@Ip() ipAddress, @Request() req, @Res(
我相信我知道答案,但我只是想确认我没有遗漏任何东西。我们有一个网页,我们希望将 HttpOnly cookie 从 WkWebView 传回 native 代码。我已经尝试了我能想到的一切,但它不会让
我已经在我当前的项目中使用了 CORS,尽管我似乎无法正常工作的一件事是 cookie。 现在我得到了 cookie,服务器发出它并将其发送下来,firefox 接受它,我可以在 firebug co
我在 websphere 中为 jsession cookie 设置了以下属性 com.ibm.ws.webcontainer.HTTPOnlyCookies . 知道如何最好地在 Firefox 或
有没有办法以某种方式在 electron 中获取 httpOnly cookie 的值? 我在加载主应用程序之前预加载的网站会发送一个包含 key 的 httpOnly cookie。我的 http
我是一名优秀的程序员,十分优秀!