問題タブ [httponly]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
2970 参照

asp-classic - ASPSESSIONID にクラシック ASP の HTTPONLY 属性がありません

従来の ASP サイト用に自動生成される ASPSESSIONID Cookie で HTTPONLY を有効にする方法を見つけようとしています。.NET 2.0+ サイトの ASP セッション Cookie がデフォルトで HTTPONLY に設定されていることは知っていますが、これを従来の ASP 用に構成する必要があります。HTTPONLY.dll フィルターを使用しようとしましたが、その ISAPI フィルターは手動で作成された Cookie に対してのみ機能します。

F5 を使用することは、現時点ではオプションではありません。IIS7 にアップグレードせずに IIS6 のみを使用してこれを行う方法があれば教えてください。ありがとう。

0 投票する
1 に答える
178 参照

php - 通常のCookieとhttponlyCookieの混合

私はPHPsetcookieを使用して通常のCookieを設定し、後でhttponlyで設定しています。これは機能しないようです。setcookie関数は成功を返しますが、Cookieがに設定されていません$_COOKIE

通常のCookieとhttponlyCookieを混在させることはできますか?

アップデート

はい、動作します。

ルディに感謝します。

0 投票する
2 に答える
781 参照

asp.net - サブパス Cookie に HttpOnly および Secure が設定されていません

私はweb.configに以下を持っています...

これらの設定は、パスが「/umbraco」の「UMB_PANEL」という名前の Cookie を除いて、私のサイトの Cookie に正しく適用されています。

設定が重複する web.config ファイルを「/umbraco」フォルダーに追加しようとしましたが、効果がありません。

これらの Cookie 設定をサイト全体に適用するにはどうすればよいですか?

0 投票する
1 に答える
2442 参照

cookies - yii クッキー セット httpOnly

yii のデフォルト オプション CHttpCookie->httpOnly では、デフォルトで httpOnly = true に設定されたアプリケーション構成全体で可能な限り false でインストールされますか?

PS 転送オプションは提供されません。サードパーティの拡張機能を利用したくありません。

0 投票する
2 に答える
14899 参照

asp.net-mvc - ASP MVC3CookieがHttpOnlyフラグとセキュアフラグを失う

mvcアプリケーションの一部としてCookieを設定しています。

デバッグすると、すべて正常に機能し、問題はなく、追加され、それも正常であることがわかります。ただし、何らかの理由で実際にブラウザに到達した場合、HttpOnlyフラグまたはSecureフラグは設定されていません。だから私は少し困惑しています...

System.Webの下のcookieweb.configエントリにHttpOnlyフラグとSecureフラグを設定してみました。

ブラウザが応答を受信したときの応答は次のようになります。

だから私はここで何かが欠けていますか?それとも、あるべき場所に設定していないものがありますか?このCookieは認証メカニズムとしてWebサーバーから発行されるため、私もCORSを使用しています。SSLが有効になっており、httpsを介して通話にも使用されています。セキュアCookieをオフにしてhttpを使用しても、HTTPOnlyフラグも設定されていないため、困惑しています。

===更新===

もう一度確認したところ、誤って通知したようですが、Cookieを初めて受信したときに、サーバーからHttpOnly応答が正しく送信されます。その後、ajax呼び出しがCookieをサーバーに送信すると、httponlyフラグが追加されていないように見えます。これは、スローされているCookieの安全性が低下していることを意味します。Cookieの安全な部分は最初の応答では送信されませんが、少なくともこれにより、すべてにもう少しコンテキストが追加されます。

0 投票する
1 に答える
1397 参照

ajax - ajax経由でhttponly Cookieを送受信するときのブラウザの正しい動作は何ですか?

現在、Firefox で httponly フラグ付きの Cookie を受け取るという問題があります。ただし、後続の応答がサーバーに送信されると、要求には httponly フラグが含まれません (これは正しい動作である可能性があります)。ただし、応答が戻ってくると、Cookie が返されますが、httponly フラグは添付されていません。受け取ったのと同じ状態で返しています。

それで、これは正しい行動ですか?リクエストごとにサーバー上の Cookie の httponly 状態を手動で更新する必要がありますか? または、呼び出し間で httponly 状態を保持する必要がありますか? ブラウザごとに異なる動作があると確信していますが、最新の主流ブラウザを想定しています。

0 投票する
1 に答える
4852 参照

websphere-7 - WebSphere Application Server 7-LTPAのhttpOnly&secureフラグ

WebSphere Application Server 7(WebSphere Portal Server 7を実行している)の前にApache http-Serverがある一般的な環境で作業しており、LTPACookieのhttpOnlyフラグとセキュアフラグをオンにしようとしています。

セッションCookieWebsphere7およびIBMのサポートノードのSecureフラグとHttpOnlyフラグに従って、WAS7構成内にカスタムプロパティcom.ibm.ws.security.addHttpOnlyAttributeToCookies-> trueを追加し、サーバーを再起動しました。その結果、セキュアフラグが設定されていないのに、httpOnlyフラグが設定されました。

誰かが同じ問題に遭遇し、解決策を見つけましたか?

0 投票する
1 に答える
108 参照

php - Web ナビゲーション中に作成される暗黙の Cookie はありますか? / httpOnly フラグ

私のウェブサイトでは、どのような種類の Cookie も使用していません。すべてがサーバー側のセッション処理を通過します。(特にsetcookie指導はありません)

それでも、Acunetix Web サイトの脆弱性チェッカーを使用すると、「httpOnly フラグが設定されていないセッション cookie」に関するレポートが表示されます。

足りないものはありますか?とにかく暗黙のクッキーはありますか?

ありがとうございました

0 投票する
3 に答える
57859 参照

java - Java Web アプリケーションの httponly とセッション cookie を設定する方法

XSS (クロス サイト スクリプティング) の問題に取り組んでいます。私のアプリケーションは、Oracle Weblogic ポータルで実行されます。サーブレット バージョン 2.5 を使用します。

httponly およびセキュア Cookie を設定するためのフィルターに以下の 3 行のコードを追加しましたが、正常に動作しています。

問題は、同じブラウザでログアウトしてすぐにログインしたときです。ログインできますが、その後、jsp ページでセッション タイムアウトの問題が発生します。weblogic関連のAPIを使用しています。request.getuserprinical()APIはnullを返しています..nullに設定していると思います。

アイデアを共有してください。

httponly または secure フラグを設定する他の方法がある場合は、助けてください。

0 投票する
2 に答える
1735 参照

httponly - HttpOnly フラグが tomcat6.0.36 で機能しない

httponly攻撃を防ぐためにフラグを使用する多くの方法を試しましXSSたが、すべて失敗しました。

true一般的な方法は、context.xml でuse HttpOnly= を設定することです。

結果をテストするには: Java コードで 2 つのテスト パラメータを Cookie に設定し、jsp ファイルの前に に警告するための JavaScript を含めます。Javadocument.cookieコードで設定された 2 つのテスト パラメータは get であり、警告に表示されます。

Java コード:

jspファイルのjavascript:

  1. 私が間違ったことはありますか?
  2. 方法が分かれば大変助かります。