Web.config文件中关于Cookie安全性的考量和设置

cookie的内容,如图所示:

HTTP response header:

Set-Cookie: <name>=<value>[; <Max-Age>=<age>][; expires=<date>][; domain=<domain_name>]=[; path=<some_path>][; secure][; HttpOnly]

                                1                      2                                   3                                4                                5                            6            7

由上面可以看到,一个Cookie包含上面7个信息

1) Cookie名称:  cookie名称必须使用只能用在URL中的字符。 一般用字母和数字,不能包含特殊字符。

2) Cookie的值: 该值可以进行转码和加密 (javascript中通过escape,unescape进行转码)

3) Expires: 这个Cookie的过期日期,是一个GMT格式的时间。当过了这个时间之后,浏览器就会将这个Cookie删除掉. 如果没有这个设置,Cookie会在浏览器关闭后消失。

4) Domain:  子域,指定在该子域才可以访问Cookie. 比如要让Cookie在a.test.com下可以访问,但在b.test.com下不能访问,则可以将domain设置成a.test.com

5) Path: 一个路径,在这个路径下面的页面才可以访问该Cookie. 一般设为"/", 以此表示同一个站点的所有页面都可以访问这个Cookie.

6)Secure: 安全性,指定Cookie是否只能通过https协议访问。一般的Cookie使用http协议就可以访问。如果设置Secure值为true,则只有当使用https协议连接时,该Cookie才可以被页面访问.

7) HttpOnly:  这个属性设置很重要,设置了HttpOnly=true, 就限制了非HTTP的API(eg: javascript,applet)访问该cookie. 也就是说通过程序(JS脚本,Applet等)将无法读取到该Cookie信息。这个设置,就防止了javascipt等脚本语言的XSS(跨站脚本攻击).

                     因为HttpOnly=true时,前端脚本就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。但cookie在传递过程中被盗窃的威胁并没有解除(需要设置Secure属性). 另外,该项设置仅仅适用于会话管理的Cookie,而不是其他的浏览器        Cookies.

 

setcookie("abc","test",NULL,NULL,NULL,NULL,TRUE);
<script>alert(document.cookie);</script>
这里,弹出的框里面,什么内容都没有

setcookie("abc","test");
<script>alert(document.cookie);</script>
这里,弹出的框里面,有这个cookie的值

 

 现在,我们再来说说第(6)个属性,secure属性

当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证。如果连接是HTTP连接,则不会传递该信息,也就不会盗取到Cookie的具体内容.

所以:

secure属性是防止信息在传递的过程中被监听捕获后信息泄漏。 6号位true

HttpOnly属性的目的是防止前端脚本程序获取cookie后进行攻击。7号位true

 

在.net项目的web.config中, 在<system.web></system.web>节点中增加内容:

   <httpCookies httpOnlyCookies="true" requireSSL="true"/>

来实现这个设置.

 

 

 

 

 

 

 

 

 

 

 

posted on 2017-05-31 10:21  新西兰程序员  阅读(445)  评论(0编辑  收藏  举报