問題タブ [httponly]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
.net - アプリケーションで httponly が設定されているかどうかを確認する方法
Web アプリケーションのフロントエンドから HTTPonly が適切に設定されているかどうかを、開発者の肩越しに調べることなく、どのように確認できますか?
asp.net - セキュリティスキャンは、無効になっている場合でもASP.NETアプリケーションでhttpOnlyCookieを検出します
web.configタグを使用して、WSS3.0フォーム認証アプリケーションでhttpOnlyCookieを有効にしようとしました。Cenzic Hailstormセキュリティスキャンレポートは、フラグがオフの状態でCookieが生成されていると主張しています。これには、.ASPXAUTH Cookie、Discovery.asmxに関連するCookie、およびWSS_AccessibiltyFeatureに関連するCookieが含まれます。これが私の質問です:
- スキャンが間違っている可能性がある方法はありますか?
- クッキーがどのように作成されるかについて私が理解していないことがありますか?これらはhttpOnlyフラグから免除されますか?
- CookieがhttpOnlyとして出力されていることを確認する方法はありますか?Fiddler用のWatcherアドオンを知っていますが、それを機能させることができませんでした(開発者と連絡を取り合っています)。確かに、クッキーを調べることができる何か他のものがあります。
sharepoint - SharePointのHttpOnlyCookieは、ブラウザーでのワークフローの作成を中断します
これは質問ではなく、私が発見した解決策です。問題は次のとおりです。MOSSEnterpriseのインストールでブラウザを介してドキュメントライブラリに承認ワークフローを作成しようとすると、「予期しないエラー」というメッセージが表示されました。エラーをブラウザに出力すると、
ログはこれ以上有用な情報を提供しませんでした。
このページhttp://social.msdn.microsoft.com/forums/en-US/sharepointworkflow/thread/f84f0878-5c40-41fa-accc-9961cef93792/を見つけました。このページには、有望なソリューションがいくつかありますが、どれも機能しませんでした。私のため。
The solution that did work for me was to turn off httpOnly cookies, which I had recently enabled in the web.config with the line <httpCookies httpOnlyCookies="true" />.
security - この HttpOnly Cookie を使用した XSS 保護は機能しますか?
私は HttpOnly Cookie と、XHR リクエストを TRACE メソッドと組み合わせて使用してサーバーからエコーバックされた Cookie 値を取得する可能性に存在する問題についていくつかの調査を行いました。
安全な Web アプリケーションの場合、現在、次の設定を行っています。
- ログイン時にセッション Cookie が送信され、セキュアおよび httpOnly プロパティが設定されます
- TRACE http メソッドがドメイン全体で無効になっている (「405 メソッドは許可されていません」を返す)
クロスサイト リクエスト フォージェリを回避するために、フォームの非表示フィールドにランダム キーを追加しました。このキーは、リクエストが受け入れられるように各 POST リクエストで返される必要があります。
これとは別に、許可されているタグと属性を選択するためにホワイトリストを使用して、すべての HTML がデフォルトでエスケープされますが、これが十分ではない理由を説明するために:次の方法で、Internet Explorer で JavaScript を渡すために使用できます。
そして、最後の質問です。誰か、このセットアップの潜在的な欠陥に対する欠陥や提案を指摘していただけますか? それとも、同じまたはまったく異なるアプローチを使用していますか?
既知の問題:
- すべてのブラウザが httpOnly をサポートしているわけではありません
- css JS 式をフィルタリングするだけでは不十分です。@import(external-style-sheet) も機能します
http - クッキーのプロパティ
Classic ASPまたはJavaSriptを使用してCookieに設定されているすべてのプロパティ(Secure、HttpOnly)を確認するにはどうすればよいですか?
java - Google App Engine JavaのHttpOnly Cookie
セッションに httponly Cookie を使用し、アプリ エンジンで Cookie を使用する方法を知っている人はいますか?
Cookie クラスの javadoc http://java.sun.com/javaee/6/docs/api/javax/servlet/http/Cookie.html#setHttpOnly(boolean)には、setHttpOnly メソッドがあります。
アプリエンジンの開発時に使用しようとすると、コンパイラエラーが発生します。
このメソッドは Servlet 3.0 仕様で導入されたので、かなり新しいものです。
ruby-on-rails - セッション Cookie の HttpOnly 設定を false に設定するにはどうすればよいですか?
Ruby on Rails で、セッション Cookie の httpOnly 設定を false に設定するにはどうすればよいですか?
asp-classic - Classic ASP セッション Cookie の HTTPONLY の設定
従来の ASP セッション Cookie で HTTPONLY を設定する方法を正確に知っている人はいますか?
これは、脆弱性スキャンでフラグが付けられた最後のものであり、できるだけ早く修正する必要があるため、どんな助けも大歓迎です.
~~~私の問題に関するもう少しの情報~~~
誰でもこれで私を助けてもらえますか?
ASP と IIS からデフォルトで作成された ASPSESSION Cookie に HTTPONLY を設定する方法を知る必要があります。
これは、すべての ASP ページに対してサーバーによって自動的に作成される Cookie です。
必要に応じて、サイト全体のすべての Cookie に HTTPONLY を設定できます。
これを行う方法についてのヘルプは大歓迎です。
ありがとう
ありがとうエリオット
java - JSESSIONID cookie に httponly を設定する (Java EE 5)
JSESSIONID Cookie に httponly フラグを設定しようとしています。ただし、私は Java EE 5 で作業しており、setHttpOnly()
. doPost()
最初に、を使用して、サーブレット内から独自の JSESSIONID Cookie を作成しようとしましたresponse.setHeader()
。
それがうまくいかなかったとき、私は試しresponse.addHeader()
ました。それもうまくいきませんでした。次に、サーブレットがセッションを JSESSIONID Cookie に変換し、それを http ヘッダーに挿入する処理を行っていることを知りました。そのため、その Cookie を操作するには、フィルターを作成する必要があります。setHeader()
フィルターを書いて/で遊んでみましたaddHeader()
が、やはり役に立ちませんでした。
次に、応答オブジェクトがフィルターに到達する前にいくつかのフラッシュ/クローズ アクションが行われていることを知りました。そのため、データを操作したい場合は、それを拡張HttpServletResponseWrapper
して に渡す必要がありfilterChain.doFilter()
ます。これは完了しましたが、まだ結果が得られません。明らかに私は何か間違ったことをしていますが、何がわかりません。
これが当面の質問に関連しているかどうかはわかりませんが、サーブレットからブラウザーに返される html ドキュメントはありません。実際に起こっていることは、一部のオブジェクトが取り込まれ、JSP ドキュメントに返されることだけです。私は、Session オブジェクトが JSESSIONID Cookie に変換され、ブラウザーに送信される前に、要求に追加されたオブジェクトと共に http ヘッダーにラップされていると想定しています。
喜んでコードを投稿したいと思いますが、最初に理論の誤解が原因で問題が発生する可能性を排除したいと思います。
c# - c# httponly Cookie を取得する
httpwebresponse で httponly Cookie を取得するにはどうすればよいですか? 私は習慣的に CookieContainer を使用して httpwebresponse で Cookie を取得していますが、httponly Cookie では機能しません。
それらをキャッチする他の方法はありますか?