Per l'analisi di HttpOnly su XSS per ottenere informazioni sui cookie, si prega di consultare gli scritti di Kenshin: Utilizzo di HttpOnly per migliorare la sicurezza delle applicazioni.
Impostazioni in javaEE:
Non è previsto un metodo operativo specifico o un attributo di funzione nell'API, e non so se sarà fornito nelle versioni future; quanto segue è una soluzione alternativa:
————————————————————————————–
response.setHeader("Set-Cookie", "cookiename=value;
Path=/; Domain=neeao.com; Età Massima=secondi; HTTPOnly");
————————————————————————————–
Impostazioni in ASP.NET
Le versioni .net 2.0 e successive supportano la configurazione globale httponly nel file Web.config, impostato come segue, basta aggiungere un nodo al web.config:
------------------------------------------------------------------
<httpCookies httpOnlyCookies="true" />
------------------------------------------------------------------
Nell'oggetto cookie .net 2.0 o successivo, esiste un parametro HttpOnly diretto per chiamare, e il metodo di utilizzo è il seguente:
Codice C#:
------------------------------------------------------------------
HttpCookie mioCookie = nuovo HttpCookie("mioCookie");
myCookie.HttpOnly = vero;
Risposta.AppendeCookie(mioCookie);
-------------------------------------------------------------------
vb.net Codice
-------------------------------------------------------------------
Dim myCookie come HttpCookie = nuovo HttpCookie("mioCookie")
myCookie.HttpOnly = True
Risposta.AppendeCookie(mioCookie)
-------------------------------------------------------------------
In asp.net 1.1 puoi anche impostare i cookie globali HttpOnly per aggiungere l'evento Application_EndRequest del nodo applicativo del file globale Global.asax:
-------------------------------------------------------------------
Protected void Application_EndRequest(Object sender, EventArgs e)
{
stringa authCookie = FormsAuthentication.FormsCookieName;
foreach (stringa sCookie in Response.Cookies)
{
if (sCookie.Equals(authCookie))
{
Response.Cookies[sCookie]. Percorso += "; HttpOnly";
}
}
}
-------------------------------------------------------------------
Se lo scrivi nel codice, devi aggiungerlo così:
--------------------------------------------
Response.Cookies [cookie]. Percorso += "; HTTPOnly";
---------------------------------------------
impostazioni in PHP
Le versioni di PHP5.2 e successive supportano già l'impostazione dei parametri HttpOnly e supportano anche l'impostazione globale di HttpOnly in php.ini
-----------------------------------------------------
session.cookie_httponly =
-----------------------------------------------------
Imposta il suo valore a 1 o TRUE per abilitare l'attributo HttpOnly del cookie globale, e ovviamente puoi anche attivarlo nel codice:
-----------------------------------------------------
<?php
ini_set("session.cookie_httponly", 1);
oppure
session_set_cookie_params(0, NULLO, NULLO, NULLO, VERO);
?>
-----------------------------------------------------
La funzione di operazione cookie setcookie e setrawcookie aggiungono anche il 7° parametro come opzione per HttpOnly, e il metodo di apertura è:
-------------------------------------------------------
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
-------------------------------------------------------
Per le versioni PHP precedenti alla 5.1 e PHP4, è necessario utilizzare la funzione header per apportare modifiche:
-------------------------------------------------------------
<?php
header("Set-Cookie: hidden=value; httpOnly");
?>
-------------------------------------------------------------
ASP
Non ci sono metodi rilevanti forniti negli oggetti integrati di asp, quindi puoi implementarlo solo come soluzione alternativa:
-----------------------------------------------------<%
‘**************************************************
'ASP output httponly cookie IE6.0 o superiori supporto browser
'WDFrog
‘2009-04-15
'<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
‘**************************************************
'———-SetHttpOnlyCookie—————————————-
'Funzione: Imposta cookie solo http
'Parametri: expDate indica la scadenza della garanzia, 0 significa non impostato, e impostato a un certo tempo nel passato significa cancellamento
'argomento: il dominio è vuoto (stringa. vuoto) significa non posto
‘——————————————————————-
Funzione SetHttpOnlyCookie(cookieName,cookieValue,domain,path,expDate)
Biscotto dim
cookie=cookieName & "=" & Server.URLEncode(cookieValue) & "; path=" & path
Se expDate <> 0 allora
cookie=cookie & "; expires=" & DateToGMT(expDate)
Fine se
Se il dominio <> "" allora
cookie=cookie & "; dominio=" & dominio
Fine se
cookie=cookie & "; Solo Http"
Call Response.AddHeader ("Set-Cookie", cookie)
Funzione finale
'————-getGMTTime————
'Parametri: sDate è il tempo che deve essere convertito in GMT
‘———————————
Funzione DateToGMT(sDate)
Dim dWeek, dMonth
Dim strZero, strZone
strZero="00"
strZone="+0800"
dSettimana=Schieramento("Sun", "Mon", "Tue", "Wes", "Thu", "Ven", "Sab")
dMonth=Array("Gen", "Feb", "Mar", "Apr", "May", "Giug", "Lul", "Aug", "Set", "Otto", "Nov", "Dec")
DataToGMT = dSettimana(SettimanaGiorno(sData)-1)&", "&Destra(strZero&Day(sData),2)&" "&dMese(Mese(sData)-1)&" "&Anno(sData)&" "&Destra(strZero&Ora(sData),2)&":"&Destra(strZero&Minuto( sData),2)&":"&Destra(strZero&Second(sData),2)&" "&strZona
Funzione finale
' Riferimento
'Chiama SetHttpOnlyCookie("cookieOnly1","onlyValue",".xxx.com","/",0)
%>
----------------------------------------------------
Riferimenti:
1.http://www.owasp.org/index.php/HTTPOnly
2.http://blogs.msdn.com/dansellers/archive/2006/03/13/550947.aspx
3.http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html
4.http://www.asp101.com/tips/index.asp?id=160
5.http://www.cnblogs.com/wdfrog/archive/2009/04/15/1436493.html |
Pubblicato su 03/06/2015 21:02:38
|
|
|
