关于会话Cookie中缺少HttpOnly属性及secure属性-领先建站CMS提供服务商我们专注于CMS建站产品的研发

3448 查看	13 回复

主题：[求助]关于会话Cookie中缺少HttpOnly属性及secure属性 [收藏主题]

转到：

春上秋下当前离线

521 主题	9 广播	20 粉丝

级别:五年级

用户积分:5618 分
登录次数:635 次
注册时间:2010/6/1
最后登录:2024/4/17

春上秋下发表于：2018/4/27 23:15:31 | 只看该作者查看该作者主题楼主

做考试题库就用#科汛在线考试系统!

客户网站（已授权但已过升级服务期）被辖区公安网监通报，


扫描弱点项	弱点风险	弱点数量
会话Cookie中缺少HttpOnly属性	低危	1
会话Cookie中缺少secure属性	低危	1
基于HTTP连接的登录请求	低危	1
电话号码	信息	1
E-Mail地址	信息	2

其中低危的这三个，要求尽快补上，在网上找了很多方式，都无法解决，希望官方出一个解决方案，像政府，事业单位，这样的网站肯定有很多出现这种问题，不管是哪个版本的，也不管有没有过期，都希望官方解决一下，这是一种负责任的态度，相信坛子里有很多这样的粉丝！

要么好好的活，要么赶紧去死！

有课程找生源就上科汛课堂街

支持(0) |

反对(0)

顶端

底部

科汛官方当前离线

47268 主题	145 广播	404 粉丝

级别:管理员

用户积分:101604 分
登录次数:7935 次
注册时间:2006/12/7
最后登录:2023/12/14
创始人

科汛官方发表于：2018/4/28 9:35:43 | 只看该作者查看该作者主题沙发

有生源找课程就上科汛课堂街!

网站找到了以下方法，可以尝试下http://www.w3dev.cn/article/20140120/asp-create-httponly-cookie.aspx

加上以上函数

，然后在 user/checkuserlogin.asp加调用

大概在213行调用。

另外建议可能的话，升级到.NET产品。

做考试题库就用#科汛在线考试系统!

支持(0) |

反对(0)

顶端

底部

春上秋下当前离线

521 主题	9 广播	20 粉丝

级别:五年级

用户积分:5618 分
登录次数:635 次
注册时间:2010/6/1
最后登录:2024/4/17

春上秋下发表于：2018/4/28 9:55:11 | 只看该作者查看该作者主题藤椅

做官网就用科汛智能建站系统!

我把user目录给删除了，还有没有其它的地方可以添加，或者说添加到conn.asp文件上面？

做新职业技能培训平台就选#科汛网校

支持(0) |

反对(0)

顶端

底部

春上秋下当前离线

521 主题	9 广播	20 粉丝

级别:五年级

用户积分:5618 分
登录次数:635 次
注册时间:2010/6/1
最后登录:2024/4/17

春上秋下发表于：2018/4/28 9:56:26 | 只看该作者查看该作者主题板凳

做线上考试培训就选#科汛网校

我把代码复制过来，以免管理给的链接失效，让其它人无法使用

复制代码

<%
'**************************************************
'ASP 中输出httponly cookie IE6.0以上浏览器支持
'WDFrog
'2009-04-15
'<meta http-equiv="Content-Type" content="text/html; charset=gb2312″>
'**************************************************
'———-SetHttpOnlyCookie—————————————-
'功能:设置HttpOnly Cookie
'参数:expDate 为保到期， 0表示不设置，设置为过去某一时间表示清除
'参数:domain 为空(string.Empty)表示不设置
'——————————————————————-
Function SetHttpOnlyCookie(cookieName,cookieValue,domain,path,expDate)
Dim cookie
cookie=cookieName & "=" & Server.URLEncode(cookieValue) & "; path=" & path
If expDate <> 0 Then
cookie=cookie & "; expires=" & DateToGMT(expDate)
End If
If domain <> "" Then
cookie=cookie & "; domain=" & domain
End If
cookie=cookie & "; HttpOnly"
Call Response.AddHeader ("Set-Cookie", cookie)
End Function
'————-getGMTTime————
'参数: sDate 需要转换成GMT的时间
'———————————
Function DateToGMT(sDate)
Dim dWeek,dMonth
Dim strZero,strZone
strZero="00″
strZone="+0800″
dWeek=Array("Sun","Mon","Tue","Wes","Thu","Fri","Sat")
dMonth=Array("Jan","Feb","Mar","Apr","May","Jun","Jul","Aug","Sep","Oct","Nov","Dec")
DateToGMT = dWeek(WeekDay(sDate)-1)&", "&Right(strZero&Day(sDate),2)&" "&dMonth(Month(sDate)-1)&" "&Year(sDate)&" "&Right(strZero&Hour(sDate),2)&":"&Right(strZero&Minute(sDate),2)&":"&Right(strZero&Second(sDate),2)&" "&strZone
End Function
'示例
Call SetHttpOnlyCookie("cookieOnly1″,"onlyValue",".gyzs.com","/",0)
%>

做官网就用科汛智能建站系统!

支持(0) |

反对(0)

顶端

底部

科汛官方当前离线

47268 主题	145 广播	404 粉丝

级别:管理员

用户积分:101604 分
登录次数:7935 次
注册时间:2006/12/7
最后登录:2023/12/14
创始人

科汛官方发表于：2018/4/28 10:28:13 | 只看该作者查看该作者主题报纸

做官网就用科汛智能建站系统!

以下是引用春上秋下在2018/4/28 9:55:11的发言：
我把user目录给删除了，还有没有其它的地方可以添加，或者说添加到conn.asp文件上面？

后台admin/login.asp也有用到。

科汛商学院助您快速入门

支持(0) |

反对(0)

顶端

底部

春上秋下当前离线

521 主题	9 广播	20 粉丝

级别:五年级

用户积分:5618 分
登录次数:635 次
注册时间:2010/6/1
最后登录:2024/4/17

春上秋下发表于：2018/5/7 10:55:01 | 只看该作者查看该作者主题地板

做线上考试培训就选#科汛网校

按你的方法，搞了两天，可以了，今天那边又反馈，问题依然存在，而且又出现了SQL的问题

/Item/GetHits.asp [高危]SQL注入漏洞这个文件有两处，为了安全，我把网站未完全显示出来，将把完整的网址短消息发给您另外，cookie的问题，依然没有解决，我把服务器远程桌面信息短消息发给您，麻烦给处理一下，谢谢

科汛商学院助您快速入门

支持(0) |

反对(0)

顶端

底部