1

我尝试使用 web.config 标记在我的 WSS 3.0 表单身份验证应用程序中启用 httpOnly cookie。Cenzic Hailstorm 安全扫描报告称,cookie 是在关闭标志的情况下生成的,包括 .ASPXAUTH cookie,一个与 Discovery.asmx 相关,一个与 WSS_AccessibiltyFeature 相关。以下是我的问题:

  1. 是否有某种方式扫描可能会出错?
  2. 关于 cookie 的创建方式,我有什么不明白的地方吗?这些是否不受 httpOnly 标志的约束?
  3. 有没有办法验证自己的 cookie 是以 httpOnly 的形式出现的?我知道 Fiddler 的 Watcher 插件,但我无法让它工作(我正在与开发人员沟通)。当然还有其他东西可以检查 cookie。
4

1 回答 1

2

实际上,您可以使用 Fiddler 查看您的 HTTP 请求的原始源。这应该会告诉您有关 httpOnly cookie 的信息。

在此处查看更多信息:http: //www.codinghorror.com/blog/archives/001167.html

于 2009-11-09T23:07:02.797 回答