IIS 6.0 でクラシック ASP サイトを実行しているクライアントがいます。Web サイトは、ASP.NET 構成タブで ASP.NET 2.0 を対象としています。彼のサイトの最近の PCI スキャンでは、彼の ASPSESSIONID Cookie に HttpOnly の脆弱性があり、失敗しています。
手動で作成されたすべての Cookie に HttpOnly を正常に設定する ISAPI .dll をインストールしましたが、何らかの理由で ASPSESSIONID Cookie は影響を受けません。
次の構成で web.config を設定しました。
<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
この構成は、何に対しても何の影響もないようです。Web サイトは ASP.NET 2.0 を対象としていますが、結局のところクラシック ASP アプリケーションであり、HttpOnly はまったくサポートされていなかったのではないかと思います。
クライアントの Web サイトでは、 のglobal.asa
代わりに が使用されていglobal.asax
ます。これは、Application_EndRequest を使用して HttpOnly を追加することを除外します。
Firefox/Firebug を使用してクライアントのサイトをロードし、Cookie を確認できます。手動で作成されたものは HttpOnly が設定されていますが、ASPSESSIONID Cookie は HttpOnly ではありません。
このセットアップ シナリオで ASPSESSIONID Cookie を HttpOnly にする方法を知っている人はいますか?