Untuk analisis HttpOnly terhadap XSS untuk mendapatkan informasi cookie, silakan lihat tulisan Kenshin: Menggunakan httpOnly untuk meningkatkan keamanan aplikasi.
Pengaturan di javaEE:
Tidak ada metode operasi atau atribut fungsi khusus yang disediakan di API, dan saya tidak tahu apakah itu akan disediakan di versi mendatang, berikut ini adalah solusinya:
————————————————————————————–
response.setHeader("Set-Cookie", "cookiename=value;
Jalur =/; Domain=neeao.com; Usia Maks=detik; HTTPOnly");
————————————————————————————–
Pengaturan di ASP.NET
Versi .net 2.0 dan yang lebih tinggi mendukung konfigurasi httponly global di file Web.config, yang diatur sebagai berikut, cukup tambahkan simpul ke web.config:
------------------------------------------------------------------
<httpCookies httpOnlyCookies="true" />
------------------------------------------------------------------
Dalam objek cookie .net 2.0 atau yang lebih baru, ada parameter HttpOnly langsung untuk memanggil, dan metode penggunaannya adalah sebagai berikut:
Kode C#:
------------------------------------------------------------------
HttpCookie myCookie = HttpCookie baru ("myCookie");
myCookie.HttpOnly = true;
Tanggapan.Tambahkan Kuki (Kuki saya);
-------------------------------------------------------------------
Kode vb.net
-------------------------------------------------------------------
Redupkan myCookie Sebagai HttpCookie = HttpCookie baru ("myCookie")
myCookie.HttpOnly = Benar
Tanggapan.Tambahkan Kuki(Kuki saya)
-------------------------------------------------------------------
Di asp.net 1.1 Anda juga dapat mengatur cookie global HttpOnly untuk ditambahkan dalam peristiwa Application_EndRequest dari simpul aplikasi file global Global.asax:
-------------------------------------------------------------------
dilindungi void Application_EndRequest(Pengirim objek, EventArgs e)
{
string authCookie = FormsAuthentication.FormsCookieName;
foreach (string sCookie di Response.Cookies)
{
if (sCookie.Equals(authCookie))
{
Tanggapan.Cookie[sCookie]. Jalur += "; HttpOnly";
}
}
}
-------------------------------------------------------------------
Jika Anda menulisnya dalam kode, Anda perlu menambahkannya seperti ini:
--------------------------------------------
Tanggapan.Cookie[cookie]. Jalur += "; HTTPOnly";
---------------------------------------------
pengaturan di PHP
Versi PHP5.2 dan yang lebih tinggi sudah mendukung pengaturan parameter HttpOnly, dan juga mendukung pengaturan HttpOnly global di php.ini
-----------------------------------------------------
session.cookie_httponly =
-----------------------------------------------------
Atur nilainya ke 1 atau TRUE untuk mengaktifkan atribut HttpOnly dari cookie global, dan tentu saja Anda juga dapat mengaktifkannya dalam kode:
-----------------------------------------------------
<?php
ini_set("session.cookie_httponly", 1);
atau
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>
-----------------------------------------------------
Fungsi operasi cookie fungsi setcookie dan fungsi setrawcookie juga menambahkan parameter ke-7 sebagai opsi untuk HttpOnly, dan metode pembukaannya adalah:
-------------------------------------------------------
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
-------------------------------------------------------
Untuk versi PHP sebelum versi 5.1 dan PHP4, Anda perlu menggunakan fungsi header untuk membuat perubahan:
-------------------------------------------------------------
<?php
header("Set-Cookie: sembunyi=nilai; httpOnly");
?>
-------------------------------------------------------------
ASP
Tidak ada metode relevan yang disediakan dalam objek bawaan asp, jadi Anda hanya dapat menerapkannya sebagai solusinya:
-----------------------------------------------------<%
‘**************************************************
'ASP output httponly cookie IE6.0 atau lebih tinggi dukungan browser
'WDFrog
‘2009-04-15
'<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
‘**************************************************
'———-SetHttpOnlyCookie—————————————-
'Fungsi: Atur Cookie HttpOnly
'Parameter: expDate adalah berakhirnya garansi, 0 berarti tidak ditetapkan, dan diatur ke waktu tertentu di masa lalu berarti pembersihan
'argumen: domain kosong (string. Kosong) berarti tidak diatur
‘——————————————————————-
Function SetHttpOnlyCookie(cookieName,cookieValue,domain,path,expDate)
Kue redup
cookie=cookieName & "=" & Server.URLEncode(cookieValue) & "; jalur=" & jalur
Jika expDate <> 0 Maka
cookie=cookie & "; expires=" & DateToGMT(expDate)
Akhiri Jika
Jika domain <> "" Maka
cookie=cookie & "; domain=" & domain
Akhiri Jika
cookie=cookie & "; HttpOnly"
Call Response.AddHeader ("Set-Cookie", cookie)
Fungsi Akhir
'————-getGMTTime————
'Parameter: sDate adalah waktu yang perlu dikonversi ke GMT
‘———————————
Tanggal FungsiKeGMT(sTanggal)
Redupkan dWeek,dMonth
Redupkan strZero, strZone
strZero="00"
strZone="+0800"
dWeek=Array("Minggu","Senin","Selasa","Wes","Kamis","Jumat","Sabtu")
dMonth=Array("Jan","Feb","Mar","Apr","Mei","Jun","Jul","Agustus","Sep","Okt","Nov","Des")
DateToGMT = dWeek(WeekDay(sDate)-1)&", "&Right(strZero&Day(sDate),2)&" "&dMonth(Month(sDate)-1)&" "&Year(sDate)&" "&Right(strZero&Hour(sDate),2)&":"&Right(strZero&Minute( sDate),2)&":"&Right(strZero&Second(sDate),2)&" "&strZone
Fungsi Akhir
' referensi
'Panggil SetHttpOnlyCookie("cookieOnly1","onlyValue",".xxx.com","/",0)
%>
----------------------------------------------------
Referensi:
1.http://www.owasp.org/index.php/HTTPOnly
2.http://blogs.msdn.com/dansellers/archive/2006/03/13/550947.aspx
3.http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html
4.http://www.asp101.com/tips/index.asp?id=160
5.http://www.cnblogs.com/wdfrog/archive/2009/04/15/1436493.html |
Diposting pada 03/06/2015 21.02.38
|
|
|
