问题标签 [httponly]

我正在尝试找到一种方法来在为经典 ASP 站点自动生成的 ASPSESSIONID cookie 上启用 HTTPONLY。我知道 .NET 2.0+ 站点的 ASP 会话 cookie 默认为 HTTPONLY，但我需要为经典 ASP 配置它。我曾尝试使用 HTTPONLY.dll 过滤器，但该 ISAPI 过滤器仅适用于手动创建的 cookie。

在这一点上，使用 F5 不是一个选项。请让我知道是否有一种方法可以在不升级到 IIS7 且仅使用 IIS6 的情况下执行此操作。谢谢。

我正在使用 PHPsetcookie设置普通 cookie，然后使用 httponly 设置一个。看来这行不通。该setcookie函数返回成功，但 cookie 未设置在$_COOKIE.

是否可以混合使用普通和 httponly cookie？

更新

是的，它有效。

谢谢鲁迪。

我在 web.config 中有以下内容...

这些设置已正确应用于我网站的 cookie，但名为“UMB_PANEL”的 cookie 除外，其路径为“/umbraco”。

我尝试将具有重复设置的 web.config 文件添加到“/umbraco”文件夹中，但没有效果。

如何让这些 cookie 设置应用于整个网站？

在yii中默认选项CHttpCookie->httpOnly设置为false，整个应用配置过程中设置默认httpOnly=true吗？

PS Transfer 选项不提供，不想进入第三方扩展。

我将 cookie 设置为我的 mvc 应用程序的一部分：

现在，如果我调试，我发现它一切正常，没有问题，并且添加了它，这也很好。但是由于某种原因，当它实际到达浏览器时，没有设置 HttpOnly 标志或 Secure 标志。所以我有点困惑...

我尝试在 System.Web 下的 cookie web.config 条目中设置 HttpOnly 和 Secure 标志：

现在这是浏览器收到响应时的样子：

那么我在这里错过了什么吗？还是有什么我没有设置在我应该设置的地方？我也在使用 CORS，因为这个 cookie 是从网络服务器发出的，作为身份验证机制。SSL 已启用，并且还通过 https 用于呼叫。即使我关闭了安全 cookie 并使用了 http，也没有设置 HTTPOnly 标志，所以我很困惑。

=== 更新 ===

仔细检查后，我似乎误会了你，在你第一次收到 cookie 时，HttpOnly 响应是从服务器正确发送的，但是！当 ajax 调用然后将 cookie 发送到服务器时，它似乎没有添加 httponly 标志，这意味着被抛出的 cookie 不再安全。cookie 的安全部分不会在第一次响应时发送出去，但至少这会增加一点上下文。

我目前遇到 Firefox 的问题，它接收带有 httponly 标志的 cookie。但是，当随后的响应发送到服务器时，请求不包含任何 httponly 标志（这可能是正确的行为），但是当响应返回时，它返回 cookie 但是它没有附加 httponly 标志，正如我假设的那样它以与它相同的状态返回它。

那么这是正确的行为吗？我应该为每个请求手动更新服务器上 cookie 的 httponly 状态吗？还是应该在调用之间保持 httponly 状态？我确信每个浏览器可能会有一些不同的行为，但只是假设现代主流浏览器。

我在一个公共环境中工作，在 WebSphere Application Server 7 前面有一个 Apache http-Server（运行一个 WebSphere Portal Server 7），现在我正在尝试为 LTPA cookie 打开 httpOnly 和安全标志。

根据会话 cookie Websphere 7 的 Secure 和 HttpOnly 标志以及 IBM 的支持节点，我在 WAS7 配置中添加了自定义属性 com.ibm.ws.security.addHttpOnlyAttributeToCookies -> true 并重新启动服务器。结果是设置了 httpOnly 标志而没有设置安全标志。

有没有人遇到同样的问题并找到了解决方案？

在我的网站中，我没有使用任何类型的 cookie，一切都通过服务器端会话处理。（完全没有setcookie指导）

但是，仍然使用 Acunetix 网站漏洞检查器，我得到一个关于“没有设置 httpOnly 标志的会话 cookie”的报告

有什么我想念的吗？反正有任何隐式cookie吗？

谢谢

我正在处理 XSS（跨站点脚本）问题。我的应用程序在 Oracle Weblogic 门户上运行。我们使用 Servlet 2.5 版。

我在过滤器中添加了以下 3 行代码，用于设置 httponly 和安全 cookie，它工作正常。

问题是当我注销并立即在同一个浏览器中登录时。我可以登录，但在那之后，在 jsp 页面上我遇到了会话超时问题。我们使用weblogic相关的api。api返回null ..request.getuserprinical()猜测它设置为null。

请分享任何想法。

如果有任何其他方法可以设置 httponly 或安全标志，请帮助。

我尝试了很多方法来使用httponly标志来防止XSS攻击，但都失败了。

常见的方法是true在 context.xml中设置 use HttpOnly=

测试结果：在java代码中设置cookie中的两个测试参数，前面的jsp文件中包含javascript来alert document.cookie，java代码中设置的两个测试参数get和show在alert中。

Java代码：

jsp文件中的javascript：

1. 我做错了什么吗？
2. 如果你知道怎么做，那将非常有帮助。