我试图将 ASP 会话 ID cookie 标记为 HttpOnly,但似乎无法找到判断它是否正常工作的方法。我正在尝试的环境如下:操作系统:Windows Server 2003 IIS:6 ASP 版本:ASP 3(经典 ASP)
为了将 cookie 标记为仅 http,我遵循了MS KB
根据我们架构师的建议,为了测试这是否有效,javascript document.cookie 应该无法读取 ASPSESSIONID* cookie。我的问题是 javascript:alert(document.cookie) 仍然与 ASPSESSIONID* cookie 相呼应,尽管它似乎已加密(?)
我还尝试通过 Response.AddHeader "Set-Cookie" 执行此操作,但无法确定为该标头提供什么值以标记所有 cookie 或至少将 ASP 会话 ID cookie 标记为 HttpOnly。帮助!!!