问题标签 [cookies]

我正在使用带有 SP1 的 Windows Vista x64，并且正在开发一个以 IIS7 作为 Web 服务器的 ASP.NET 应用程序。我遇到了一个问题，我的 cookie 没有“粘”到会话中，所以我有一个谷歌，发现有一个已知问题，即重复响应标头被覆盖而不是被添加到会话中。然而，这个问题本应在 Vista 的 Service Pack 1 中得到修复。

关于我的麻烦可能是什么的任何想法？

我正在使用集成应用程序池，并且工作进程的最大数量 == 1。

下划线有什么意义？它在 URL 中的位置是否重要（例如，它是否在主机名中很重要，但如果它在查询字符串中则无关紧要）？

我有一个作为 CGI 程序运行的 PHP 脚本，并且 HTTPAuthenticate标头被吃掉并吐出。所以我想实现某种基于 FORM 的身份验证。作为附加约束，没有数据库，因此不能存储会话数据。

我非常愿意拥有一个主用户名和密码。我只需要保护应用程序免受不知道这些凭据的入侵者的侵害。

那么你将如何实现呢？

饼干？

我可以出示表格，如果验证通过，我可以发回一个 cookie，该 cookie 是 IP 地址的散列来密码。然后我可以阻止页面呈现，除非事情正确解密。但我不知道如何在 PHP 中实现它。

作为我的在线申请注册过程的一部分，我正在考虑跟踪用于访问我的网站的来源和/或搜索关键字。这将使我能够以比谷歌分析更精细的方式了解哪些广告正在发挥作用，以及从何处发挥作用。

我想当人们访问我的网站时，我可以使用此信息设置某种 cookie，但我不确定我将如何获取它。甚至可能吗？

我正在使用 Rails，但不胜感激提供与语言无关的解决方案（或者甚至只是指向在哪里可以找到此信息的指针）！

具体来说，这与使用客户端会话 cookie 来识别服务器上的会话有关。

对整个网站使用 SSL/HTTPS 加密是否是最佳答案，并且您有最好的保证，中间攻击中的任何人都无法嗅探现有的客户端会话 cookie？

或许次佳对存储在会话 cookie 中的会话值本身使用某种加密？

如果恶意用户可以物理访问机器，他们仍然可以查看文件系统以检索有效的会话 cookie 并使用它来劫持会话？

如果在基于 cookie 的访问限制的站点上使用 AJAX，则 JavaScript 需要访问 cookie。HttpOnly cookie 可以在 AJAX 网站上工作吗？

编辑：如果指定了 HttpOnly，Microsoft 通过禁止 JavaScript 访问 cookie 创建了一种防止 XSS 攻击的方法。FireFox 后来采用了这个。所以我的问题是：如果您在 StackOverflow 之类的网站上使用 AJAX，是否可以选择 Http-Only cookie？

编辑 2：问题 2。如果 HttpOnly 的目的是阻止 JavaScript 访问 cookie，并且您仍然可以通过 JavaScript 通过 XmlHttpRequest 对象检索 cookie，那么 HttpOnly 的意义何在？

编辑3：这是维基百科的引述：

当浏览器接收到这样一个 cookie 时，它​​应该像往常一样在以下 HTTP 交换中使用它，但不让它对客户端脚本可见。 [32] 该HttpOnly标志不是任何标准的一部分，也不是在所有浏览器中都实现。请注意，目前无法阻止通过 XMLHTTPRequest 读取或写入会话 cookie。[33]。

我知道document.cookie当您使用 HttpOnly 时会被阻止。但似乎您仍然可以读取 XMLHttpRequest 对象中的 cookie 值，从而允许 XSS。HttpOnly 是如何让你变得更安全的呢？通过使cookie基本上只读？

在您的示例中，我无法写入document.cookie您的 cookie，但我仍然可以窃取您的 cookie 并使用 XMLHttpRequest 对象将其发布到我的域。

编辑 4：抱歉，我的意思是您可以将 XMLHttpRequest 发送到 StackOverflow 域，然后将 getAllResponseHeaders() 的结果保存到字符串，正则表达式输出 cookie，然后将其发布到外部域。似乎维基百科和黑客在这一点上同意我的观点，但我希望接受再教育......

最终编辑：啊，显然两个站点都是错误的，这实际上是FireFox 中的一个错误。IE6 & 7 实际上是目前唯一完全支持 HttpOnly 的浏览器。

重申我学到的一切：

• HttpOnly 限制对 IE7 & 和 FireFox 中的 document.cookie 的所有访问（不确定其他浏览器）
• HttpOnly 从 IE7 中 XMLHttpObject.getAllResponseHeaders() 的响应标头中删除 cookie 信息。
• XMLHttpObjects 只能提交到它们起源的域，因此不会跨域发布 cookie。

编辑：此信息可能不再是最新的。

在阅读了 Jeff 关于保护您的 Cookie：HttpOnly的博文后。我想在我的 Web 应用程序中实现 HttpOnly cookie。

你如何告诉 tomcat 只使用 http cookie 进行会话？

受这篇 CodingHorror 文章“保护您的 Cookie：HttpOnly ”的启发

你如何设置这个属性？在网络配置的某个地方？

如何在我的PHP appsas中设置 cookie HttpOnly cookies？

我正在为一家小公司开发一个小型 Intranet 站点，用户应该可以在该站点上发帖。我设想了一种非常简单的身份验证机制，人们只需输入他们的电子邮件地址，并收到一个唯一的登录 url，它会设置一个 cookie，该 cookie 将始终在未来的请求中识别他们。

在我的模板设置中，我有 base.html，其他页面对此进行了扩展。我想在 base.html 中显示登录或注册按钮，但如何确保必要的变量始终是上下文的一部分？似乎每个视图只是根据自己的喜好设置上下文，并且没有全局上下文人口。有没有一种方法可以在不将用户包括在每个上下文创建中的情况下做到这一点？

还是我必须制作自己的自定义快捷方式才能正确设置上下文？

读完这个/后有点好奇。关于劫持 HTTPS cookie 的文章。我稍微追踪了一下，我偶然发现的一个很好的资源列出了一些在这里保护 cookie 的方法。我必须使用 adsutil，还是在 web.config 的 httpCookies 部分中设置 requireSSL 会覆盖所有其他会话 cookie（在此处介绍）？还有什么我应该考虑进一步加强会议的吗？