web应用程序不使用HTTPonly Cookie
如何避免跨站点脚本攻击 允许通过客户端脚本访问具有HTTPonly属性的cookie。web应用程序不使用HTTPonly Cookie,http,iis,cookies,browser,xss,Http,Iis,Cookies,Browser,Xss,如何避免跨站点脚本攻击 允许通过客户端脚本访问具有HTTPonly属性的cookie。 我正在使用ASP.NET 3.5、IIS 8和IE9浏览器。(它应该为所有web浏览器提供安全性)。在浏览了许多网站后,我找到了解决此问题的方法: 这是Microsoft在IE 6 SP1中引入的一项新的安全功能,通过不允许通过客户端脚本访问具有HTTPonly属性的Cookie来降低跨站点脚本攻击成功的可能性 建议包括采用开发策略,包括仅使用HTTP cookie,并执行其他操作,如确保正确过滤用户提供的数
我正在使用ASP.NET 3.5、IIS 8和IE9浏览器。(它应该为所有web浏览器提供安全性)。在浏览了许多网站后,我找到了解决此问题的方法: 这是Microsoft在IE 6 SP1中引入的一项新的安全功能,通过不允许通过客户端脚本访问具有HTTPonly属性的Cookie来降低跨站点脚本攻击成功的可能性 建议包括采用开发策略,包括仅使用HTTP cookie,并执行其他操作,如确保正确过滤用户提供的数据,利用用户提供的数据的客户端验证,以及对所有用户提供的数据进行编码,以防止插入的脚本以可执行的格式发送给最终用户 关于安全Cookie,请在下面一行添加 在web.config文件下
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="false" />
<system.web>
- requireSSL=“true”如果您对http使用https,请将其保留为false