如何避免跨站点脚本攻击 允许通过客户端脚本访问具有HTTPonly属性的cookie。 我使用的是ASP.NET 3.5,IIS 8和IE9浏览器。 (它应该为所有Web浏览器提供安全性。)
答案 0 :(得分:0)
在浏览了很多网站之后,我找到了解决这个问题的方法:
这是Microsoft在IE 6 SP1中引入的一项新安全功能,通过不允许通过客户端脚本访问具有HTTPonly属性的cookie来减轻成功跨站脚本攻击的可能性。
建议包括采用包括仅使用HTTP的cookie的开发策略,以及执行其他操作,例如确保正确过滤用户提供的数据,利用客户端验证用户提供的数据,以及将所有用户提供的数据编码为防止插入的脚本以可执行的格式发送给最终用户。
关于安全Cookie添加到行 在web.config文件下
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="false" />
<system.web>