问题标签 [httponly]

如果不站在开发人员的肩膀上，我如何才能从我的 Web 应用程序的前端判断 HTTPonly 是否设置正确？

我尝试使用 web.config 标记在我的 WSS 3.0 表单身份验证应用程序中启用 httpOnly cookie。Cenzic Hailstorm 安全扫描报告称，cookie 是在关闭标志的情况下生成的，包括 .ASPXAUTH cookie，一个与 Discovery.asmx 相关，一个与 WSS_AccessibiltyFeature 相关。以下是我的问题：

1. 是否有某种方式扫描可能会出错？
2. 关于 cookie 的创建方式，我有什么不明白的地方吗？这些是否不受 httpOnly 标志的约束？
3. 有没有办法验证自己的 cookie 是以 httpOnly 的形式出现的？我知道 Fiddler 的 Watcher 插件，但我无法让它工作（我正在与开发人员沟通）。当然还有其他东西可以检查 cookie。

这不是一个问题，而是我刚刚发现的解决方案。问题是这样的：当我尝试在 MOSS Enterprise 安装中通过浏览器在文档库上创建审批工作流时，我收到“意外错误”消息。将错误输出到浏览器，我得到了

日志没有提供任何更有用的信息。

我找到了这个页面http://social.msdn.microsoft.com/forums/en-US/sharepointworkflow/thread/f84f0878-5c40-41fa-accc-9961cef93792/，其中有一些听起来很有希望的解决方案，但没有一个有效为了我。

对我有用的解决方案是关闭 httpOnly cookie，我最近在 web.config 中使用 <httpCookies httpOnlyCookies="true" /> 行启用了它。

我已经对 HttpOnly cookie 和存在的问题进行了一些研究，这些问题可能会结合使用 XHR 请求和 TRACE 方法来获取从服务器回显的 cookie 值。

对于安全的网络应用程序，我目前有以下设置：

• 会话 cookie 在登录时发送，并设置了安全和 httpOnly 属性
• 对整个域禁用 TRACE http 方法（返回“405 Method not allowed”）

为了避免跨站点请求伪造，我在表单的隐藏字段中添加了一个随机密钥。必须在每个 POST 请求中返回此密钥，才能接受该请求。

除此之外，默认情况下，所有 HTML 都使用白名单进行转义，以选择允许的标签和属性，但为了说明这还不够：我们之前允许使用 span 上的样式属性（例如为文本着色），这可用于通过以下方式在 Internet Explorer 中传递 javascript：

然后是最后一个问题：任何人都可以指出任何缺陷或建议以解决此设置中可能存在的缺陷吗？还是您使用相同或完全不同的方法？

已知问题：

• 并非所有浏览器都支持 httpOnly
• 过滤 css JS 表达式是不够的，@import(external-style-sheet) 也可以

如何检查使用 Classic ASP 或 JavaSript 为 cookie 设置的所有属性（安全、HttpOnly）？

任何人都知道如何在应用引擎上使用 httponly cookie 进行会话和 cookie 吗？

在 Cookie 类的 javadoc 中，http://java.sun.com/javaee/6/docs/api/javax/servlet/http/Cookie.html#setHttpOnly(boolean)中有一个 setHttpOnly 方法。

不过，在为应用引擎开发时尝试使用它时出现编译器错误。

该方法是在 Servlet 3.0 规范中引入的，所以它很新。

在 Ruby on Rails 中，如何将会话 cookie 的 httpOnly 设置设置为 false？

有谁知道如何在经典的 ASP 会话 cookie 上设置 HTTPONLY？

这是在漏洞扫描中标记的最后一件事，需要尽快修复，因此感谢您的帮助。

~~~关于我的问题的更多信息~~~

谁能帮我解决这个问题？

我需要知道如何在默认情况下从 ASP 和 IIS 创建的 ASPSESSION cookie 上设置 HTTPONLY。

这是服务器为所有asp页面自动创建的cookie。

如果需要，我可以在站点上的所有 cookie 上设置 HTTPONLY。

任何有关如何做到这一点的帮助将不胜感激。

谢谢

谢谢艾略特

我正在尝试在 JSESSIONID cookie 上设置 httponly 标志。但是，我正在使用 Java EE 5，无法使用setHttpOnly(). 首先，我尝试doPost()使用response.setHeader().

当那不起作用时，我尝试了response.addHeader(). 那也没有用。然后，我了解到 servlet 处理将会话转换为 JSESSIONID cookie 并将其插入到 http 标头中，因此如果我想使用该 cookie，我将不得不编写一个过滤器。我写了一个过滤器并在那里玩setHeader()/ addHeader()，再次无济于事。

然后，我了解到响应对象在到达过滤器之前会执行一些刷新/关闭操作，所以如果我想操作数据，我需要扩展HttpServletResponseWrapper并将其传递给filterChain.doFilter(). 这已经完成，但我仍然没有得到结果。显然我做错了什么，但我不知道是什么。

我不确定这是否与手头的问题完全相关，但是 servlet 没有将 html 文档返回给浏览器。真正发生的只是一些对象被填充并返回到 JSP 文档。我有点假设 Session 对象被转换为 JSESSIONID cookie 并在发送到浏览器之前将其与添加到请求中的对象一起包装在 http 标头中。

我很乐意发布一些代码，但我想排除我的困难首先源于对理论的误解的可能性。

如何在 httpwebresponse 中获取 httponly cookie？我习惯性地使用 CookieContainer 来获取 httpwebresponse 中的 cookie，但它不适用于 httponly cookie。

有没有其他方法可以抓住它们？