网站谠骀魍埭主机Cookie没有设置HttpOnly标志,可导致Cookie可被客户端脚本读取到从而容易遭受跨站脚本攻击(XSS像粜杵泳)。我们需要给Cookie设置HttpOnly属性。下面教大家如何用IIS简单地给Cookie配置HttpOnly标志。
工具/原料
iis
方法1:直接在web.config中添加代码
1、给Cookie设置HttpOnly属性,可以直接通过嘛术铹砾web.config配置文件,在web.config添加如下代码:<?xmlvers足毂忍珩ion="1.0"encoding="UTF-8"?><configuration><system.web><httpCookieshttpOnlyCookies="true"/></system.web></configuration>这样就给Cookie设置HttpOnly属性。
方法2:利用IIS设置
1、打开IIS服务器中对应的网站,然后双击“配置编辑器”。
2、在配置编辑器中节中依次打开system.web,找到里面的HTTPCookie,找到之后鼠标左键点击进入。
3、我们可以看到默认的httpOnlyCookie的属性值是False,我们将False修改成True即可。
4、修改好之后,点击右边的“应用”。
5、这样我们的就配置好了Cookie的HttpOnly标志。我们在这时也可以访问网站目录,找到web.config文件,web.config文件中也有了对应的代码。也就是我们在方法1中直接添加的代码。
