امن سازی IIS 10 – بخش بیست و یکم

cis-IIS 10

اطمینان از تنظیم ویژگی HttpOnly برای Cookie ها (Scored)

Profile Applicability

• Level 1 – IIS 10

Description

ویژگی httpOnlyCookies، تعیین می کند که آیا IIS پرچم HttpOnly روی کوکی‌های HTTP تنظیم شده‌است یا خیر. پرچم HttpOnly به user agent نشان می‌دهد که cookie نباید به وسیله اسکریپت های client-side (به عنوان مثال document.cookie) قابل دسترس باشد. توصیه می‌شود ویژگی httpOnlyCookie به true تنظیم شود.

Rationale

زمانی که cookie ها با پرچم HttpOnly تنظیم می‌شوند نمی‌توانند توسط اسکریپت‌های client-side که در مرورگر user اجرا می‌شوند، قابل دسترسی باشند. جلوگیری از دسترسی به محتوای cookie توسط اسکریپت‌های client-side می‌تواند به کاهش حملات cross site scripting که در نهایت به session hi-jacking منجر می‌شود، کمک کند.

Audit

بعد از اینکه IIS ریستارت شد web.config مربوط به اپلیکیشن مورد نظر را جستجو و باز کنید و بررسی کنید که httpOnlyCookies فعال شده باشد. تایید کنید ویژگی httpOnlyCookies به true تنظیم شده باشد:

httpCookies httpOnlyCookies=”true”

Remediation

1- فایل web.config اپلیکیشن را مکان یابی و باز کنید.
2- تگ httpCookies httpOnlyCookies=”true” در system.web اضافه کنید:

تنظیم مقدار ویژگی httpOnlyCookies از عنصر httpCookies به true، پرچم HttpOnly را به کلیه کوکی‌های تنظیم شده توسط برنامه اضافه می‌کند. همه نسخه‌های مدرن مرورگرها ویژگی HttpOnly را تشخیص می‌دهند. نسخه‌های قدیمی‌تر یا با آنها به عنوان کوکی‌های معمولی رفتار می‌کنند یا به طور کلی آنها را نادیده می‌گیرند.

Default Value

به صورت پیش‌فرض ASP.NET 2.0 کوکی‌ها را به httpOnly، force نمی‌کند.

منابع:

msdn.microsoft.com/en-us/library/ms533046.aspx

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید