IIS設定 — Cookie without HttpOnly Flag Set
ASP.NET的設定很簡單
但如果是早期的舊ASP(Classic ASP)呢?該怎麼解決這個漏洞?
ASP.NET (WEb Form / MVC) 在 IIS設定中,要解決 Cookie without HttpOnly Flag Set
只要在 Web.Config設定檔加入下面這一段即可,很簡單
<system.web>
<httpCookies httpOnlyCookies=”true” />
</system.web>
但如果是早期的舊ASP(Classic ASP)呢?該怎麼解決 Cookie without HttpOnly Flag Set 這個漏洞?
在 Web.Config設定檔裡面,放在<system.webServer>裡面
<rewrite>
<outboundRules>
<rule name=”Add HttpOnly” preCondition=”No HttpOnly”>
<match serverVariable=”RESPONSE_Set_Cookie” pattern=”.*” negate=”false” />
<action type=”Rewrite” value=”{R:0}; HttpOnly” />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name=”No HttpOnly”>
<add input=”{RESPONSE_Set_Cookie}” pattern=”.” />
<add input=”{RESPONSE_Set_Cookie}” pattern=”; HttpOnly” negate=”true” />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
我將思想傳授他人, 他人之所得,亦無損於我之所有;
猶如一人以我的燭火點燭,光亮與他同在,我卻不因此身處黑暗。 — — Thomas Jefferson
線上課程,遠距教學 (Web Form 49hr) https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015
線上課程,遠距教學 (ASP.NET MVC 75~80hr) https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab
ASP.NET MVC線上課程 第一天 免費看 (5.5小時)
寫信給我,不要私訊 — mis2000lab (at) yahoo.com.台灣 或 school (at) mis2000lab.net
ASP.NET遠距教學、線上課程(Web Form + MVC)。 第一天課程, “完整” 試聽。
……………. facebook社團 https://www.facebook.com/mis2000lab ………………….
……………. YouTube (ASP.NET) 線上教學影片 https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/
