IIS設定 — Cookie without HttpOnly Flag Set

ASP.NET的設定很簡單

但如果是早期的舊ASP（Classic ASP）呢？該怎麼解決這個漏洞？

ASP.NET (WEb Form / MVC) 在 IIS設定中，要解決 Cookie without HttpOnly Flag Set

只要在 Web.Config設定檔加入下面這一段即可，很簡單

system.web  httpCookies httpOnlyCookies=”true” / /system.web

但如果是早期的舊ASP（Classic ASP）呢？該怎麼解決 Cookie without HttpOnly Flag Set 這個漏洞？

資料來源

在 Web.Config設定檔裡面，放在system.webServer裡面

rewrite ​  outboundRules ​

rule name=”Add HttpOnly” preCondition=”No HttpOnly” ​  match serverVariable=”RESPONSE_Set_Cookie” pattern=”.*” negate=”false” / ​  action type=”Rewrite” value=”{R:0}; HttpOnly” / ​  conditions ​  /conditions ​  /rule ​

preConditions ​  preCondition name=”No HttpOnly” ​  add input=”{RESPONSE_Set_Cookie}” pattern=”.” / ​  add input=”{RESPONSE_Set_Cookie}” pattern=”; HttpOnly” negate=”true” / ​  /preCondition ​  /preConditions ​

/outboundRules ​  /rewrite

我將思想傳授他人， 他人之所得，亦無損於我之所有；

猶如一人以我的燭火點燭，光亮與他同在，我卻不因此身處黑暗。 — — Thomas Jefferson

線上課程，遠距教學 (Web Form 49hr)

線上課程，遠距教學 (ASP.NET MVC 75~80hr)

寫信給我，不要私訊 — mis2000lab (at) yahoo.com.台灣 或 school (at) mis2000lab.net

ASP.NET遠距教學、線上課程（Web Form + MVC）。 第一天課程， “完整” 試聽。

……………. facebook社團 ………………….

……………. YouTube (ASP.NET) 線上教學影片