0
如何避免跨網站腳本攻擊不通過 允許通過客戶端腳本訪問具有HTTPonly屬性的cookie。 我使用ASP.NET 3.5,IIS 8和IE9瀏覽器。 (它應該提供所有網絡瀏覽器的安全性)。網絡應用程序不使用HTTPonly cookies
如何避免跨網站腳本攻擊不通過 允許通過客戶端腳本訪問具有HTTPonly屬性的cookie。 我使用ASP.NET 3.5,IIS 8和IE9瀏覽器。 (它應該提供所有網絡瀏覽器的安全性)。網絡應用程序不使用HTTPonly cookies
瀏覽很多網站後,我發現這個問題的解決方案:
這是微軟在IE中引入了6 SP1,以減輕由不是一個成功的跨站點腳本攻擊的可能性的新安全功能允許通過客戶端腳本訪問具有HTTPonly屬性的cookie。
建議包括採用包括HTTP僅餅乾的利用一個發展政策,和執行其他的動作,如確保用戶提供的數據的適當的過濾,利用用戶提供的數據的客戶端驗證,以及編碼所有用戶提供的數據以防止插入的腳本以可執行的格式發送給最終用戶。
關於安全Cookie添加下面一行 下web.config文件
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="false" />
<system.web>