1
web.config 태그를 사용하여 WSS 3.0 폼 인증 응용 프로그램에서 httpOnly 쿠키를 활성화하려고했습니다. Cenzic Hailstorm 보안 검사 보고서는 .ASPXAUTH 쿠키, Discovery.asmx와 관련된 쿠키 및 WSS_AccessibiltyFeature와 관련된 쿠키를 포함하여 플래그가 해제 된 쿠키가 생성되고 있다고 주장합니다. 여기에 내 질문이 있습니다 :보안 검사에서 비활성화 된 경우에도 ASP.NET 응용 프로그램에서 httpOnly 쿠키를 찾습니다.
- 어떤 방법으로 스캔을 오인 할 수 있습니까?
- 쿠키가 어떻게 생성되는지 이해할 수없는 것이 있습니까? 이것들은 httpOnly 플래그에서 제외됩니까?
- 쿠키가 httpOnly로 나오는지 직접 확인하는 방법이 있습니까? 나는 Fiddler를위한 Watcher add-on을 알고 있지만, 나는 그것을 작동시킬 수 없었다. (나는 개발자와 의사 소통을하고있다.) 확실히 쿠키를 검사 할 수있는 다른 것이 있습니다.
감사합니다, 나는 원시 헤더를 검사하여 Http 만 플래그를 볼 수 있었다. 나는 Hailstorm이 왜 착각을하는지에 대해 여전히 궁금합니다. 아무도 질문의 다른 부분에 답하지 않으면 잠시 질문을 공개하고 대답을 수락합니다. – strongopinions
쿠키가 캐시되었는지 궁금합니다 : 캐시 가능한 쿠키 : 쿠키가 단일 사용자 (개인 문서 용)에 의해 사용되도록 설정된 경우 Set-cookie 헤더를 캐시해서는 안됩니다. Set-Cookie 헤더의 캐싱을 억제하려면 원본 서버가 Cache-control : no-cache = "set-cookie"응답 헤더를 보내야합니다. (이것은 서버 쪽 설정 임) – Gyuri
IE는 Cache-Control 지시문에서 실제로 명명 된 헤더 값을 고려하지 않습니다. no-cache를 보내면 응답 캐싱이 완전히 차단됩니다. 나는 다른 브라우저가 있는지 여부를 모른다. – EricLaw