اطمینان از تنظیم ویژگی HttpOnly برای Cookie ها (Scored)
Profile Applicability
• Level 1 – IIS 10
Description
ویژگی httpOnlyCookies، تعیین می کند که آیا IIS پرچم HttpOnly روی کوکیهای HTTP تنظیم شدهاست یا خیر. پرچم HttpOnly به user agent نشان میدهد که cookie نباید به وسیله اسکریپت های client-side (به عنوان مثال document.cookie) قابل دسترس باشد. توصیه میشود ویژگی httpOnlyCookie به true تنظیم شود.
Rationale
زمانی که cookie ها با پرچم HttpOnly تنظیم میشوند نمیتوانند توسط اسکریپتهای client-side که در مرورگر user اجرا میشوند، قابل دسترسی باشند. جلوگیری از دسترسی به محتوای cookie توسط اسکریپتهای client-side میتواند به کاهش حملات cross site scripting که در نهایت به session hi-jacking منجر میشود، کمک کند.
Audit
بعد از اینکه IIS ریستارت شد web.config مربوط به اپلیکیشن مورد نظر را جستجو و باز کنید و بررسی کنید که httpOnlyCookies فعال شده باشد. تایید کنید ویژگی httpOnlyCookies به true تنظیم شده باشد:
httpCookies httpOnlyCookies=”true”
Remediation
1- فایل web.config اپلیکیشن را مکان یابی و باز کنید.
2- تگ httpCookies httpOnlyCookies=”true” در system.web اضافه کنید:
تنظیم مقدار ویژگی httpOnlyCookies از عنصر httpCookies به true، پرچم HttpOnly را به کلیه کوکیهای تنظیم شده توسط برنامه اضافه میکند. همه نسخههای مدرن مرورگرها ویژگی HttpOnly را تشخیص میدهند. نسخههای قدیمیتر یا با آنها به عنوان کوکیهای معمولی رفتار میکنند یا به طور کلی آنها را نادیده میگیرند.
Default Value
به صورت پیشفرض ASP.NET 2.0 کوکیها را به httpOnly، force نمیکند.
منابع: