网站漏洞之:检测到会话cookie中缺少HttpOnly属性

描述: 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。如果在Cookie中没有设置HttpOnly属性为true,可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,如ASP.NET会话ID或Forms身份验证票证,攻击者可以重播窃取的Cookie,以便伪装成用户或获取敏感信息,进行跨站脚本攻击等。如果在Cookie中设置HttpOnly属性为true,兼容浏览器接收到HttpOnly cookie,那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这将有助于缓解跨站点脚本威胁。

解决方案: 配置HttpOnly属性。

修改方法:

webconfig中

system.web下增加

<httpCookies httpOnlyCookies="true"/>

转载请说明出处:第六感博客 原文链接:

相关阅读:

网站漏洞之:possible .net error message

网站漏洞之:检测到目标web应用表单密码类型输入启用了自动完成操作

网站漏洞之:IIS短文件名泄露漏洞

网站漏洞之:点击劫持:X-Frame-Options未配置