با سلام:

ظاهرا هکرها با استفاده از ("ASPSESSIONID") می توانند عملیات xss انجام دهند.
و برای جلوگیری از آن باید کوکهای خود را بصورت httponly در آوریم

1-اگر بخواهیم کوکی های خود را (بمنظور امنیت بیشتر سایت ) بصورت httponly در آوریم چه کار باید بکینم
اگر می شه چند خط کد سمپل بگذارید.

2-آیا این تنظیمات برروی همه کوکی ها اثر می گذارد یا فقط روی یک کوکی خاص
3- آیا session ها نیز جزو کوکی ها بحساب می آیند و باید آنها را نیز httponly کرد.
4 - آیا کوکی ها نیز یک نوع session هستند.
5- آیا اگر این تنظیم را انجام دهم روی سایت چه محدودیتهایی بوجود می آید . یعنی اگر کوکی خود را روی hhtpony ست کنم در عوض چه امکاناتی را از دست می دهم و چه امکاناتی را بدست می آورم.
6- برای امنیت بهتر است چه کوکهایی را بصورت httponly در آورم؟

مرسی
مرسی از وقت شما

1-اگر بخواهیم کوکی های خود را (بمنظور امنیت بیشتر سایت ) بصورت httponly در آوریم چه کار باید بکینم اگر می شه چند خط کد سمپل بگذارید.

سلام.
می تونید بدین شکل عمل کنید:

Response.AddHeader "Set-Cookie", "myCookie=whatever; HttpOnly"


2-آیا این تنظیمات برروی همه کوکی ها اثر می گذارد یا فقط روی یک کوکی خاص
فقط یک Cookie، در مثال فوق، myCookie.


3- آیا session ها نیز جزو کوکی ها بحساب می آیند و باید آنها را نیز httponly کرد.
خیر، Session ها سمت سرور مدیریت میشن.


4 - آیا کوکی ها نیز یک نوع session هستند.
خیر.


5- آیا اگر این تنظیم را انجام دهم روی سایت چه محدودیتهایی بوجود می آید . یعنی اگر کوکی خود را روی hhtpony ست کنم در عوض چه امکاناتی را از دست می دهم و چه امکاناتی را بدست می آورم.

اگر Browser شما این قابلیت رو پشتیبانی کنه، سمت Client کد JavaScript شما به اون Cookie دسترسی نخواهد داشت.


6- برای امنیت بهتر است چه کوکهایی را بصورت httponly در آورم؟

لطفا به این آدرس (https://www.owasp.org/index.php/HttpOnly) رجوع کنید.

موفق باشید.

سلام
با تشکر فراوان از پاسخ شما


خیر، Session ها سمت سرور مدیریت میشن.
نکته شما درست است ولی داخل هارد client ذخیره می شوند یعنی ( من وقتی با ابزار مخصوص، کوکی های مربوط به یک سایت را داخل browser خودم پاک می کنم - session هایش نیز از بین می روند)از این بابت سوال شماره 3 و 4 را پرسیدم


اگر اشتباه نکنم ASPSESSIONID نام یک کوکی اتوماتیک است که باید به حالت httponly در بیاد. درسته؟
و اینکه بقیه کوکی ها خیلی مهم نیست- می شه در مورد این نام کمی توضیح بدهید؟ چرا مهمه؟

اما سوال اصلی :
این کد جاوا در زیر ابتدا می ره id را بررسی می کنه آیا باید من هم همین کار را انجام دهم؟ اگر می دونید به زبان vb می شه تبدیلش کنید؟


String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");


4-راستی کدام browser مطمعن تر است. ( می خوام اگر بشه یک recommend هم بگذارم و مثلا به کاربرانم توصیه کنم که firiefox استفاده کنند. البته اگر httponly را خوب همایت بکنه)

5- خلاصه مطلبی که فهمیدم اینکه توی صفحه ای که دارم کوکی را مقدار دهی می کنم یک hedr را نیز add بکنم و از نوع httponly بکنم.
یا اینکه اگر توی header مشخص شد دیگه لازم نیست اینچوری مقدار دهی کنم.

Response.Cookies("A") = email1




از وقت شما خیلی ممنونم
خیلی خیلی