我希望在我的旧版ASP经典网站中实现httpOnly。
有人知道该怎么做吗？

解决方案

回答

我们需要将"; HttpOnly"添加到Response cookie集合中。

回答

Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"

其他选项，例如"过期"，"路径"和"安全"也可以通过这种方式添加。我不知道更改整个Cookie集合的任何神奇方法，但是对此我可能是错的。

回答

HttpOnly在提高Web应用程序的安全性方面做得很少。一方面，它仅在IE中有效(Firefox"支持"它，但在某些情况下仍向Javascript公开cookie)。另一方面，它只能防止针对应用程序的"偷渡式"攻击；它无法阻止跨站点脚本攻击重置密码，更改电子邮件地址或者下订单。

你应该使用它吗？当然。这不会伤害你。但是在开始弄乱HttpOnly之前，我们应该确定要做的10件事。