A HttpOnly elemzéséhez az XSS-ről a cookie-információk megszerzéséhez kérjük, tekintse meg Kenshin írását: Using httpOnly az alkalmazás biztonságának javítására.
Beállítások javaEE-ben:
Az API-ban nincs konkrét műveleti módszer vagy funkció attribútum, és nem tudom, hogy a jövőbeli verziókban is elérhető lesz-e, a következő megoldás:
————————————————————————————–
response.setHeader("Set-Cookie", "cookiename=value;
Path=/; Domain=neeao.com; Max-Életkor=másodpercek; HTTPOnly");
————————————————————————————–
Beállítások ASP.NET
A .net 2.0 és annál magasabb verziók támogatják a globális http csak konfigurálását a Web.config fájlban, amely a következőképpen van beállítva, egyszerűen adj hozzá egy csomópontot a web.config-hoz:
------------------------------------------------------------------
<httpCookies httpOnlyCookies="true" />
------------------------------------------------------------------
A .net 2.0 vagy újabb cookie objektumban közvetlen HttpOnly paraméter van a híváshoz, és a használati mód a következő:
C# kód:
------------------------------------------------------------------
HttpCookie myCookie = új HttpCookie ("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);
-------------------------------------------------------------------
vb.net kód
-------------------------------------------------------------------
Dimítsd a myCookie-t, ahogy HttpCookie = új HttpCookie("myCookie")
myCookie.HttpOnly = Igaz
Response.AppendCookie(myCookie)
-------------------------------------------------------------------
asp.net 1.1-ben a globális HttpOnly sütiket is beállíthatod, hogy hozzáadják a globális fájl alkalmazáscsomópontjának Application_EndRequest eseményében:
-------------------------------------------------------------------
protected void Application_EndRequest(Object sender, EventArgs e)
{
string authCookie = FormsAuthentication.FormsCookieName;
foreach (sCookie sort a Response.Cookies-ben)
{
if (sCookie.Equals(authCookie))
{
Válasz.Sütik[sCookie]. Path += "; HttpOnly";
}
}
}
-------------------------------------------------------------------
Ha beírod a kódba, így kell hozzáadnod:
--------------------------------------------
Válasz.Sütik[süti]. Path += "; HTTPOnly";
---------------------------------------------
PHP beállítások
A PHP5.2 és annál magasabb verziók már támogatják a HttpOnly paraméterek beállítását, valamint a globális HttpOnly beállítását is php.ini
-----------------------------------------------------
session.cookie_httponly =
-----------------------------------------------------
Állítsd be az értékét 1-re vagy TRUE-ra, hogy engedélyezd a globális cookie HttpOnly attribútumát, és természetesen a kódban is engedélyezheted:
-----------------------------------------------------
<?php
ini_set("session.cookie_httponly", 1);
vagy
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>
-----------------------------------------------------
A cookie műveleti függvény setcookie függvény és a setrawcookie függvény a 7. paramétert is hozzáadja opcióként a HttpOnly-hoz, és a nyitó módszer a következő:
-------------------------------------------------------
setcookie("abc", "teszt", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "teszt", NULL, NULL, NULL, NULL, TRUE);
-------------------------------------------------------
A PHP verzióknál az 5.1 és PHP4 előtti verzióknál a fejléc funkcióval kell változtatni:
-------------------------------------------------------------
<?php
header("Set-Cookie: hidden=value; httpOnly");
?>
-------------------------------------------------------------
ASP
Az asp beépített objektumaiban nincsenek releváns módszerek, így csak megoldásként lehet megvalósítani:
-----------------------------------------------------<%
‘**************************************************
'ASP csak httponly cookie IE6.0 vagy annál magasabb böngésző támogatás
'WDFrog
‘2009-04-15
'<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
‘**************************************************
'———-Állítsd HttpOnlyCookie—————————————-
'Funkció: Állítsd be a HttpOnly Cookie-ket
'Paraméterek: expDate a garancia lejártát, 0 azt jelenti, hogy nincs beállítva, és a múltban egy bizonyos időre beállítva a clearing jelentése
'argument: domain is empty (string. Üres) jelentése nem beállított
‘——————————————————————-
Function SetHttpOnlyCookie(cookieName,cookieValue,domain,path,expDate)
Dim süti
cookie=cookieName & "=" & Server.URLEncode(cookieValue) & "; path=" & path
Ha expDate <> 0, akkor
cookie=cookie & "; expires=" & DateToGMT(expDate)
Vége Ha
Ha a domain <> "" akkor
cookie=cookie & "; domain=" & domain
Vége Ha
cookie=cookie & "; Csak HttpOnly"
Call Response.AddHeader ("Set-Cookie", cookie)
Végfunkció
'————-get GMTTime————
'Paraméterek: sDate az az idő, amit át kell alakítani GMT-re
‘———————————
Function DateToGMT(sDate)
DHét, dHónap
Dim strZero,strZone
strZero="00"
strZone="+0800"
dHét=Array("Vasárnap","Mon","Tue","Wes","Csütörtök","Péntek","Szombat")
dMonth=Array("Jan","Feb","Mar","April","May","Jun","Julius","Aug","September","Oct","November","Dec")
DateToGMT = dHét(hétnap(sDátum)-1)&", "&Right(strZero&Day(sDate),2)&" "&dMonth(Month(sDate)-1)&" "&Year(sDate)&" "&Right(strZero&Hour(sDate),2)&":"&Right(strZero&Minute( sDate),2)&":"&Right(strZero&Second(sDate),2)&" "&strZone
Végfunkció
' hivatkozás
'Hívd a SetHttpOnlyCookie("cookieOnly1","onlyValue",".xxx.com","/",0)
%>
----------------------------------------------------
Hivatkozások:
1.http://www.owasp.org/index.php/HTTPOnly
2.http://blogs.msdn.com/dansellers/archive/2006/03/13/550947.aspx
3.http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html
4.http://www.asp101.com/tips/index.asp?id=160
5.http://www.cnblogs.com/wdfrog/archive/2009/04/15/1436493.html |
Közzétéve 2015. 06. 03. 21:02:38
|
|
|
