Question

使用以下web.config文件属性我无法让我的网站删除会话cookie或强制cookie使用HTTPOnly。我在web.config文件中使用了以下配置的基本经典asp网站

<configuration>
  <system.web>
  <httpCookies httpOnlyCookies="true" />
  <sessionState mode="Off" cookieless="true"/>
  </system.web>
</configuration>

我尝试使用以下出站规则来重写URL，但是当使用Qualys扫描网站时，它不会在扫描网站之前重写cookie。以下是无法使用的以下属性代码：

 <outboundRules>
    <rule name="Add HttpOnly" preCondition="No HttpOnly">
        <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
        <action type="Rewrite" value="{R:0}; HttpOnly" />
        <conditions>
        </conditions>
    </rule>
    <preConditions>
        <preCondition name="No HttpOnly">
            <add input="{RESPONSE_Set_Cookie}" pattern="." />
            <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
        </preCondition>
    </preConditions>
</outboundRules>

Answer 1

你可以随时要求客户杀死＆＃39; cookie（下面附有代码）并希望它这样做。如果没有发生这种情况，可能是客户端存在错误或者用户在过期之前将cookie复制出浏览器，并将其复制回来。无论如何......如果可以的话找不到修复方法，解决方法是杀死你使用它的 EVERYTIME 。

HttpCookie cookieToKill= new HttpCookie(cookieName);
cookieToKill.Expires = DateTime.UtcNow.AddDays(-1); //any negative value will do)
Response.Cookies.Add(cookieToKill);

ASP会话Cookie删除

1 个答案: