Cookie没有HttpOnly标志咋办？IIS设置HttpOnly

网站本家儿机Cookie没有设置HttpOnly标记，可导致Cookie可被客户端剧本读取到从而轻易蒙受跨站剧本进犯(XSS)。我们需要给Cookie设置HttpOnly属性。下面教大师若何用IIS简单地给Cookie设置装备摆设HttpOnly标记。

东西/原料

• iis

方式1：直接在web.config中添加代码

1. 1

   给Cookie设置HttpOnly属性，可以直接经由过程web.config设置装备摆设文件，在web.config添加如下代码：

   <?xml version="1.0" encoding="UTF-8"?>

   <configuration>

       <system.web>

           <httpCookies httpOnlyCookies="true" />

       </system.web>

   </configuration>

   如许就给Cookie设置HttpOnly属性。

   

方式2：操纵IIS设置

1. 1

   打开IIS办事器中对应的网站，然后双击“设置装备摆设编纂器”。

   
2. 2

   在设置装备摆设编纂器中节中依次打开system.web，找到里面的HTTPCookie，找到之后鼠标左键点击进入。

   
3. 3

   我们可以看到默认的httpOnlyCookie的属性值是False，我们将False点窜当作True即可。

   
4. 4

   点窜好之后，点击右边的“应用”。

   
5. 5

   如许我们的就设置装备摆设好了Cookie的HttpOnly标记。我们在这时也可以拜候网站目次，找到web.config文件，web.config文件中也有了对应的代码。也就是我们在方式1中直接添加的代码。

   

注重事项

• 方式1和方式2，利用一种便可。
• 本人亲测可行，给Cookie设置HttpOnly属机能加强网站平安指数，有用地提防跨站剧本进犯(XSS)。