問題タブ [httponly]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp-classic - ASPSESSIONID にクラシック ASP の HTTPONLY 属性がありません
従来の ASP サイト用に自動生成される ASPSESSIONID Cookie で HTTPONLY を有効にする方法を見つけようとしています。.NET 2.0+ サイトの ASP セッション Cookie がデフォルトで HTTPONLY に設定されていることは知っていますが、これを従来の ASP 用に構成する必要があります。HTTPONLY.dll フィルターを使用しようとしましたが、その ISAPI フィルターは手動で作成された Cookie に対してのみ機能します。
F5 を使用することは、現時点ではオプションではありません。IIS7 にアップグレードせずに IIS6 のみを使用してこれを行う方法があれば教えてください。ありがとう。
php - 通常のCookieとhttponlyCookieの混合
私はPHPsetcookie
を使用して通常のCookieを設定し、後でhttponlyで設定しています。これは機能しないようです。setcookie
関数は成功を返しますが、Cookieがに設定されていません$_COOKIE
。
通常のCookieとhttponlyCookieを混在させることはできますか?
アップデート
はい、動作します。
ルディに感謝します。
asp.net - サブパス Cookie に HttpOnly および Secure が設定されていません
私はweb.configに以下を持っています...
これらの設定は、パスが「/umbraco」の「UMB_PANEL」という名前の Cookie を除いて、私のサイトの Cookie に正しく適用されています。
設定が重複する web.config ファイルを「/umbraco」フォルダーに追加しようとしましたが、効果がありません。
これらの Cookie 設定をサイト全体に適用するにはどうすればよいですか?
cookies - yii クッキー セット httpOnly
yii のデフォルト オプション CHttpCookie->httpOnly では、デフォルトで httpOnly = true に設定されたアプリケーション構成全体で可能な限り false でインストールされますか?
PS 転送オプションは提供されません。サードパーティの拡張機能を利用したくありません。
asp.net-mvc - ASP MVC3CookieがHttpOnlyフラグとセキュアフラグを失う
mvcアプリケーションの一部としてCookieを設定しています。
デバッグすると、すべて正常に機能し、問題はなく、追加され、それも正常であることがわかります。ただし、何らかの理由で実際にブラウザに到達した場合、HttpOnlyフラグまたはSecureフラグは設定されていません。だから私は少し困惑しています...
System.Webの下のcookieweb.configエントリにHttpOnlyフラグとSecureフラグを設定してみました。
ブラウザが応答を受信したときの応答は次のようになります。
だから私はここで何かが欠けていますか?それとも、あるべき場所に設定していないものがありますか?このCookieは認証メカニズムとしてWebサーバーから発行されるため、私もCORSを使用しています。SSLが有効になっており、httpsを介して通話にも使用されています。セキュアCookieをオフにしてhttpを使用しても、HTTPOnlyフラグも設定されていないため、困惑しています。
===更新===
もう一度確認したところ、誤って通知したようですが、Cookieを初めて受信したときに、サーバーからHttpOnly応答が正しく送信されます。その後、ajax呼び出しがCookieをサーバーに送信すると、httponlyフラグが追加されていないように見えます。これは、スローされているCookieの安全性が低下していることを意味します。Cookieの安全な部分は最初の応答では送信されませんが、少なくともこれにより、すべてにもう少しコンテキストが追加されます。
ajax - ajax経由でhttponly Cookieを送受信するときのブラウザの正しい動作は何ですか?
現在、Firefox で httponly フラグ付きの Cookie を受け取るという問題があります。ただし、後続の応答がサーバーに送信されると、要求には httponly フラグが含まれません (これは正しい動作である可能性があります)。ただし、応答が戻ってくると、Cookie が返されますが、httponly フラグは添付されていません。受け取ったのと同じ状態で返しています。
それで、これは正しい行動ですか?リクエストごとにサーバー上の Cookie の httponly 状態を手動で更新する必要がありますか? または、呼び出し間で httponly 状態を保持する必要がありますか? ブラウザごとに異なる動作があると確信していますが、最新の主流ブラウザを想定しています。
websphere-7 - WebSphere Application Server 7-LTPAのhttpOnly&secureフラグ
WebSphere Application Server 7(WebSphere Portal Server 7を実行している)の前にApache http-Serverがある一般的な環境で作業しており、LTPACookieのhttpOnlyフラグとセキュアフラグをオンにしようとしています。
セッションCookieWebsphere7およびIBMのサポートノードのSecureフラグとHttpOnlyフラグに従って、WAS7構成内にカスタムプロパティcom.ibm.ws.security.addHttpOnlyAttributeToCookies-> trueを追加し、サーバーを再起動しました。その結果、セキュアフラグが設定されていないのに、httpOnlyフラグが設定されました。
誰かが同じ問題に遭遇し、解決策を見つけましたか?
php - Web ナビゲーション中に作成される暗黙の Cookie はありますか? / httpOnly フラグ
私のウェブサイトでは、どのような種類の Cookie も使用していません。すべてがサーバー側のセッション処理を通過します。(特にsetcookie
指導はありません)
それでも、Acunetix Web サイトの脆弱性チェッカーを使用すると、「httpOnly フラグが設定されていないセッション cookie」に関するレポートが表示されます。
足りないものはありますか?とにかく暗黙のクッキーはありますか?
ありがとうございました
java - Java Web アプリケーションの httponly とセッション cookie を設定する方法
XSS (クロス サイト スクリプティング) の問題に取り組んでいます。私のアプリケーションは、Oracle Weblogic ポータルで実行されます。サーブレット バージョン 2.5 を使用します。
httponly およびセキュア Cookie を設定するためのフィルターに以下の 3 行のコードを追加しましたが、正常に動作しています。
問題は、同じブラウザでログアウトしてすぐにログインしたときです。ログインできますが、その後、jsp ページでセッション タイムアウトの問題が発生します。weblogic関連のAPIを使用しています。request.getuserprinical()
APIはnullを返しています..nullに設定していると思います。
アイデアを共有してください。
httponly または secure フラグを設定する他の方法がある場合は、助けてください。
httponly - HttpOnly フラグが tomcat6.0.36 で機能しない
httponly
攻撃を防ぐためにフラグを使用する多くの方法を試しましXSS
たが、すべて失敗しました。
true
一般的な方法は、context.xml でuse HttpOnly= を設定することです。
結果をテストするには: Java コードで 2 つのテスト パラメータを Cookie に設定し、jsp ファイルの前に に警告するための JavaScript を含めます。Javadocument.cookie
コードで設定された 2 つのテスト パラメータは get であり、警告に表示されます。
Java コード:
jspファイルのjavascript:
- 私が間違ったことはありますか?
- 方法が分かれば大変助かります。