IIS設定 — Cookie without HttpOnly Flag Set

ASP.NET的設定很簡單

但如果是早期的舊ASP（Classic ASP）呢？該怎麼解決這個漏洞？

ASP.NET (WEb Form / MVC) 在 IIS設定中，要解決 Cookie without HttpOnly Flag Set

只要在 Web.Config設定檔加入下面這一段即可，很簡單

<system.web>
 <httpCookies httpOnlyCookies=”true” />
</system.web>

但如果是早期的舊ASP（Classic ASP）呢？該怎麼解決 Cookie without HttpOnly Flag Set 這個漏洞？

資料來源 https://stackoverflow.com/questions/55296/how-exactly-do-you-configure-httponly-cookies-in-asp-classic

在 Web.Config設定檔裡面，放在<system.webServer>裡面

<rewrite> ​
 <outboundRules> ​

<rule name=”Add HttpOnly” preCondition=”No HttpOnly”> ​
 <match serverVariable=”RESPONSE_Set_Cookie” pattern=”.*” negate=”false” /> ​
 <action type=”Rewrite” value=”{R:0}; HttpOnly” /> ​
 <conditions> ​
 </conditions> ​
 </rule> ​

<preConditions> ​
 <preCondition name=”No HttpOnly”> ​
 <add input=”{RESPONSE_Set_Cookie}” pattern=”.” /> ​
 <add input=”{RESPONSE_Set_Cookie}” pattern=”; HttpOnly” negate=”true” /> ​
 </preCondition> ​
 </preConditions> ​

</outboundRules> ​
 </rewrite>

我將思想傳授他人， 他人之所得，亦無損於我之所有；

猶如一人以我的燭火點燭，光亮與他同在，我卻不因此身處黑暗。 — — Thomas Jefferson

線上課程，遠距教學 (Web Form 49hr) https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015

線上課程，遠距教學 (ASP.NET MVC 75~80hr) https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab

寫信給我，不要私訊 — mis2000lab (at) yahoo.com.台灣 或 school (at) mis2000lab.net

ASP.NET遠距教學、線上課程（Web Form + MVC）。 第一天課程， “完整” 試聽。

……………. facebook社團 https://www.facebook.com/mis2000lab ………………….

……………. YouTube (ASP.NET) 線上教學影片 https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/