web应用程序不使用HTTPonly cookie。
web应用程序不使用HTTPonly cookie。
提问于 2014-12-02 06:10:20
如何避免跨站点脚本攻击,不允许通过客户端脚本访问带有HTTPonly属性的cookie。我使用的是ASP.NET 3.5、IIS8和IE9浏览器。(它应该为所有web浏览器提供安全性)。
回答 1
Stack Overflow用户
回答已采纳
发布于 2014-12-04 12:19:26
在浏览了许多网站之后,我找到了一个解决这个问题的方法:
这是微软在IE6 SP1中引入的一个新的安全特性,通过不允许通过客户端脚本访问带有HTTPonly属性的cookie来减少跨站点脚本攻击的可能性。
建议包括采用只使用HTTP cookie的开发策略,并执行其他操作,例如确保对用户提供的数据进行适当过滤,利用客户端对用户提供的数据进行验证,以及对所有用户提供的数据进行编码,以防止将插入的脚本以可以执行的格式发送给最终用户。
关于安全cookie的在web.config文件下添加了一行
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="false" />
<system.web>- 如果您使用https作为http,则requireSSL="true“保持为false。
在这里找到更多的细节。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/27242954
复制相关文章
相似问题
腾讯云开发者
