Lai uzzinātu, kā HttpOnly analizē XSS, lai iegūtu informāciju par sīkdatnēm, lūdzu, skatiet Kenshin rakstu: httpOnly izmantošana lietojumprogrammu drošības uzlabošanai.
Iestatījumi javaEE:
API nav nodrošināta īpaša darbības metode vai funkcijas atribūts, un es nezinu, vai tas tiks nodrošināts nākamajās versijās, šāds ir risinājums:
————————————————————————————–
response.setHeader("Iestatīt-sīkfails", "sīkdatnesnosaukums=vērtība;
Ceļš =/; Domain=neeao.com; Max-Age=sekundes; HTTPOnly");
————————————————————————————–
Iestatījumi ASP.NET
.net 2.0 un jaunākas versijas atbalsta globālā httponly konfigurēšanu Web.config failā, kas ir iestatīts šādi, vienkārši pievienojiet mezglu web.config:
------------------------------------------------------------------
<httpCookies httpOnlyCookies="true" />
------------------------------------------------------------------
.net 2.0 vai jaunākā sīkfaila objektā ir tiešs HttpOnly parametrs zvanīšanai, un lietošanas metode ir šāda:
C# kods:
------------------------------------------------------------------
HttpCookie myCookie = jauns HttpCookie ("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie (myCookie);
-------------------------------------------------------------------
vb.net kods
-------------------------------------------------------------------
Dim myCookie As HttpCookie = jauns HttpCookie ("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)
-------------------------------------------------------------------
Programmā asp.net 1.1 varat arī iestatīt globālos sīkfailus HttpOnly, lai pievienotu globālā faila Global.asax lietojumprogrammas mezgla Application_EndRequest gadījumā:
-------------------------------------------------------------------
aizsargāts void Application_EndRequest(Objekta sūtītājs, EventArgs e)
{
virkne authCookie = FormsAuthentication.FormsCookieName;
foreach (virkne sCookie Response.Cookies)
{
if (sCookie.Equals(authCookie))
{
Response.Cookies[sCookie]. Ceļš += "; Tikai http";
}
}
}
-------------------------------------------------------------------
Ja jūs to rakstāt kodā, jums tas jāpievieno šādi:
--------------------------------------------
Atbilde.Sīkdatnes[sīkdatne]. Ceļš += "; HTTPOnly";
---------------------------------------------
iestatījumi PHP
PHP5.2 un jaunākas versijas jau atbalsta HttpOnly parametru iestatīšanu, kā arī atbalsta globālā HttpOnly iestatīšanu php.ini
-----------------------------------------------------
session.cookie_httponly =
-----------------------------------------------------
Iestatiet tā vērtību uz 1 vai TRUE, lai iespējotu globālās sīkdatnes atribūtu HttpOnly, un, protams, varat to iespējot arī kodā:
-----------------------------------------------------
<?php
ini_set("session.cookie_httponly", 1);
vai
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>
-----------------------------------------------------
Sīkdatņu darbības funkcija setcookie funkcija un funkcija setrawcookie pievieno arī 7. parametru kā HttpOnly opciju, un atvēršanas metode ir:
-------------------------------------------------------
setcookie("abc", "tests", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
-------------------------------------------------------
PHP versijām pirms 5.1 un PHP4 versijām ir jāizmanto galvenes funkcija, lai veiktu izmaiņas:
-------------------------------------------------------------
<?php
header("Set-Cookie: hidden=value; httpOnly");
?>
-------------------------------------------------------------
ASP
Iebūvētajos asp objektos nav atbilstošu metožu, tāpēc to var īstenot tikai kā risinājumu:
-----------------------------------------------------<%
‘**************************************************
'ASP izvade httponly sīkfails IE6.0 vai augstāks pārlūkprogrammas atbalsts
"WDFrog
‘2009-04-15
'<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
‘**************************************************
'———-SetHttpOnlyCookie—————————————-
"Funkcija: iestatīt httpOnly sīkdatnes
"Parametri: expDate ir garantijas termiņa beigas, 0 nozīmē nav iestatīts, un iestatīts uz noteiktu laiku pagātnē nozīmē klīringu
'arguments: domēns ir tukšs (virkne. Tukšs) nozīmē nav iestatīts
‘——————————————————————-
Function SetHttpOnlyCookie(cookieName,cookieValue,domain,path,expDate)
Tumšs sīkfails
cookie=cookieName & "=" & Server.URLEncode(cookieValue) & "; ceļš=" & ceļš
Ja expDate <> 0 tad
cookie=sīkdatne & "; expires=" & DateToGMT(expDate)
Beigt, ja
Ja domēns <> "" Tad
cookie=sīkdatne & "; domēns=" & domēns
Beigt, ja
cookie=sīkdatne & "; Tikai http"
Call Response.AddHeader ("Set-Cookie", sīkfails)
Beigu funkcija
'————-getGMTTime————
"Parametri: sDate ir laiks, kas jākonvertē uz GMT
‘———————————
Funkcija DateToGMT(sDate)
Dim dWeek,dMonth
Dim strZero,strZone
strZero="00"
strZone="+0800"
dWeek=Array("Svētdiena","Pirmdiena","Otrdiena","Wes","Ceturtdiena","Piektdiena","Sestdiena")
dMonth=Masīvs("Janvāris","Februāris","Marts","Aprīlis","Maijs","Jūnijs","Jūlijs","Augusts","Septembris","Oktobris","Novembris","Decembris")
DateToGMT = dWeek(WeekDay(sDate)-1)&", "&Right(strZero&Day(sDate),2)&" "&dMonth(Month(sDate)-1)&" "&Year(sDate)&" "&Right(strZero&Hour(sDate),2)&":"&Right(strZero&Minute( sDate),2)&":"&Right(strZero&Second(sDate),2)&" "&strZone
Beigu funkcija
" atsauce
'Call SetHttpOnlyCookie("cookieOnly1","onlyValue",".xxx.com","/",0)
%>
----------------------------------------------------
Atsauces:
1. http://www.owasp.org/index.php/HTTPOnly
2.http://blogs.msdn.com/dansellers/archive/2006/03/13/550947.aspx
3.http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html
4.http://www.asp101.com/tips/index.asp?id=160
5.http://www.cnblogs.com/wdfrog/archive/2009/04/15/1436493.html |
Publicēts 03.06.2015 21:02:38
|
|
|
