【F5 iRule使用HTTPOnly和Secure保护Cookie的安全】通过以下F5 iRules保护Web应用程序免受XSS攻击
有多种方法可以保护应用程序中的cookie, 但最简单的方法总是像F5一样位于网络边缘。
下面的示例基于你的以JSESSIONID开头的Web应用程序cookie给出。如果还有其他内容, 可以进行相应的修改。
下面将在头响应中以JSESSIONID开头的Set-Cookie中添加HTTPOnly和Secure标志。
使用iRule实施
- 使用以下方法创建irule
when HTTP_RESPONSE { HTTP::cookie secure "JSESSIONID" enable
set ck [HTTP::header values "Set-Cookie"]
HTTP::header remove "Set-Cookie"
foreach acookie $ck {
if {$acookie starts_with "JSESSIONID"} {
HTTP::header insert "Set-Cookie" "${acookie};
HttpOnly"
} else {
HTTP::header insert "Set-Cookie" "${acookie};
HttpOnly"
}
} }- 将irule关联到相应的虚拟服务器
你可以使用任何Web开发人员工具查看” 响应” 标头, 并确保看到以下内容。你也可以使用HTTP标头在线工具进行确认。
有兴趣了解有关F5管理的更多信息吗?请查看Tyco Taygo的在线课程。
推荐阅读
- 8个Drupal安全扫描程序来查找漏洞
- F5 irule使用X-FRAME-OPTIONS保护点击劫持攻击
- 10个道德黑客在线培训场
- 我的应用程序运行良好,除了Android 9版本。我无法理解什么是问题
- Android主题定制
- 如何在Android上更改默认的ProgressBar圆圈颜色
- 向AppTheme添加按钮样式不起作用
- 以编程方式更改Chip Widget样式不起作用 - Android
- 在Android上拉伸游戏画面以跨设备统一分辨率