如何将cookie中httponly属性设置为true?(预防XSS攻击)

如何将cookie中HttpOnly属性设置为True?(预防xss攻击)

文章目录

  • 前言
    • 为了解决XSS(跨站脚本攻击)的问题,从IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari)所支持。当cookie中的HttpOnly属性被设置为true时,前端脚本JavaScript就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。即便是这样,也不要将重要信息存入cookie。
  • 一、打开IIS
  • 二、点击配置编辑器,点击打开功能
  • 三、点击“节”的下拉按钮
  • 四、找到system.web---HTTPCookie
  • 五、更改httpONLYcookie的属性值
  • 六、生成web.config
  • 七、完成
  • 总结


前言

在 cookie 中设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。

为了解决XSS(跨站脚本攻击)的问题,从IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari)所支持。当cookie中的HttpOnly属性被设置为true时,前端脚本JavaScript就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。即便是这样,也不要将重要信息存入cookie。

一、打开IIS

如何将cookie中httponly属性设置为true?(预防XSS攻击)_第1张图片

二、点击配置编辑器,点击打开功能

如何将cookie中httponly属性设置为true?(预防XSS攻击)_第2张图片

三、点击“节”的下拉按钮

如何将cookie中httponly属性设置为true?(预防XSS攻击)_第3张图片

四、找到system.web—HTTPCookie

如何将cookie中httponly属性设置为true?(预防XSS攻击)_第4张图片

五、更改httpONLYcookie的属性值

可以看到httpOnlyCookie的属性值是False,将False双击或按右侧下拉按钮修改为True,点击右上角“应用”保存
如何将cookie中httponly属性设置为true?(预防XSS攻击)_第5张图片

六、生成web.config

到网站目录中可以看到生成一个文件web.config
如何将cookie中httponly属性设置为true?(预防XSS攻击)_第6张图片

七、完成

就这么一段代码,即设置完成了
如何将cookie中httponly属性设置为true?(预防XSS攻击)_第7张图片

总结

我们将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。希望各位大佬指点批评。

你可能感兴趣的:(IIS搭建,javascript,前端,服务器,html,xss)