For HttpOnlys analyse av XSS for å hente informasjonskapselinformasjon, vennligst se Kenshins tekst: Using httpOnly to improve application security.
Innstillinger i javaEE:
Det finnes ingen spesifikk operasjonsmetode eller funksjonsattributt i API-et, og jeg vet ikke om det vil bli gitt i fremtidige versjoner, følgende er en løsning:
————————————————————————————–
response.setHeader("Set-cookie", "cookiename=value;
Sti=/; Domain=neeao.com; Max-Age = sekunder; HTTPOnly");
————————————————————————————–
Innstillinger i ASP.NET
.net 2.0 og nyere versjoner støtter konfigurasjon av global httponly i Web.config-filen, som er satt som følger: bare legg til en node i web.config:
------------------------------------------------------------------
<httpCookies httpOnlyCookies="true" />
------------------------------------------------------------------
I .net 2.0 eller nyere cookie-objektet finnes det en direkte HttpOnly-parameter for kall, og bruksmetoden er som følger:
C#-kode:
------------------------------------------------------------------
HttpCookie myCookie = ny HttpCookie ("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);
-------------------------------------------------------------------
vb.net kode
-------------------------------------------------------------------
Dim myCookie som HttpCookie = ny HttpCookie ("myCookie")
myCookie.HttpOnly = Sant
Response.AppendCookie(myCookie)
-------------------------------------------------------------------
I asp.net 1.1 kan du også sette de globale informasjonskapslene HttpOnly for å legge til Application_EndRequest-hendelsen til applikasjonsnoden i den globale filen Global.asax:
-------------------------------------------------------------------
beskyttet void Application_EndRequest(Objektavsender, EventArgs e)
{
streng authCookie = FormsAuthentication.FormsCookieName;
foreach (strengen sCookie i Response.Cookies)
{
hvis (sCookie.Equals(authCookie))
{
Response.Cookies[sCookie]. Sti += "; HttpOnly";
}
}
}
-------------------------------------------------------------------
Hvis du skriver det i koden, må du legge det til slik:
--------------------------------------------
Response.Cookies[cookie]. Sti += "; HTTPOnly";
---------------------------------------------
innstillinger i PHP
PHP5.2 og nyere versjoner støtter allerede innstilling av HttpOnly-parametere, og støtter også innstilling av global HttpOnly i php.ini
-----------------------------------------------------
session.cookie_httponly =
-----------------------------------------------------
Sett verdien til 1 eller TRUE for å aktivere HttpOnly-attributtet til den globale cookien, og selvfølgelig kan du også aktivere det i koden:
-----------------------------------------------------
<?php
ini_set ("session.cookie_httponly", 1);
eller
session_set_cookie_params(0, NULL, NULL, NULL, SANN);
?>
-----------------------------------------------------
Cookie-operasjonsfunksjonen setcookie-funksjonen og setrawcookie-funksjonen legger også til den 7. parameteren som et alternativ for HttpOnly, og åpningsmetoden er:
-------------------------------------------------------
setcookie ("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie ("abc", "test", NULL, NULL, NULL, NULL, TRUE);
-------------------------------------------------------
For PHP-versjoner før 5.1- og PHP4-versjonene må du bruke header-funksjonen for å gjøre endringer:
-------------------------------------------------------------
<?php
header("Set-cookie: hidden=value; httpOnly");
?>
-------------------------------------------------------------
ASP
Det finnes ingen relevante metoder i de innebygde objektene i asp, så du kan bare implementere det som en løsning:
-----------------------------------------------------<%
‘**************************************************
'ASP-utgang httponly-informasjonskapsel IE6.0 eller nyere nettleserstøtte
'WDFrog
‘2009-04-15
'<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
‘**************************************************
'———-SetHttpOnlyCookie—————————————-
'Funksjon: Sett HttpOnly-informasjonskapsler
'Parametere: utløpsdato er utløpet av garantien, 0 betyr ikke satt, og satt til et bestemt tidspunkt i fortiden betyr oppklaring
'argument: domenet er tomt (streng. Tom) betyr ikke satt
‘——————————————————————-
Funksjon SetHttpOnlyCookie(cookieName,cookieValue,domain,path,expDate)
Dim kjeks
cookie=cookieName & "=" & Server.URLEncode(cookieValue) & "; sti=" & sti
Hvis expDate <> 0, så
cookie=cookie & "; utløp=" & DateToGMT(utløpsdato)
Slutt hvis
Hvis domenet <> "" Så
cookie=cookie & "; domene=" & domene
Slutt hvis
cookie=cookie & "; Kun httpOnly"
Call Response.AddHeader ("Set-cookie", informasjonskapsel)
Sluttfunksjon
'————-getGMTTime————
'Parametere: sDate er tidspunktet som må konverteres til GMT
‘———————————
Funksjon DateToGMT(sDate)
Dimm dUke, dMåned
Dimm strNull, strZone
strZero="00"
strZone="+0800"
dWeek=Array("Sol", "Man", "Tir", "Wes", "Torsdag", "Fredag", "Lør")
dMonth=Array("Jan","Feb","Mar","Apr","May","Jun","Jul","Aug","Sep","Okt","Nov","Des")
DateToGMT = dWeek(WeekDay(sDate)-1)&", "&Right(strZero&Day(sDate),2)&" "&dMonth(Month(sDate)-1)&" "&Year(sDate)&" "&Right(strZero&Hour(sDate),2)&":"&Right(strZero&Minute( sDate),2)&":"&Right(strZero&Second(sDate),2)&" "&strZone
Sluttfunksjon
' referanse
'Call SetHttpOnlyCookie("cookieOnly1","onlyValue",".xxx.com","/",0)
%>
----------------------------------------------------
Referanser:
1.http://www.owasp.org/index.php/HTTPOnly
2.http://blogs.msdn.com/dansellers/archive/2006/03/13/550947.aspx
3.http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html
4.http://www.asp101.com/tips/index.asp?id=160
5.http://www.cnblogs.com/wdfrog/archive/2009/04/15/1436493.html |
Publisert på 03.06.2015 21:02:38
|
|
|
