锐客网

  1. 首页 > 睿知 > it技术 > >

F5 iRule使用HTTPOnly和Secure保护Cookie的安全

安全网络安全技术IT知识web安全HTTPOnlySecure

【F5 iRule使用HTTPOnly和Secure保护Cookie的安全】通过以下F5 iRules保护Web应用程序免受XSS攻击
有多种方法可以保护应用程序中的cookie, 但最简单的方法总是像F5一样位于网络边缘。
下面的示例基于你的以JSESSIONID开头的Web应用程序cookie给出。如果还有其他内容, 可以进行相应的修改。
下面将在头响应中以JSESSIONID开头的Set-Cookie中添加HTTPOnly和Secure标志。
使用iRule实施

  • 使用以下方法创建irule
when HTTP_RESPONSE { HTTP::cookie secure "JSESSIONID" enable     set ck [HTTP::header values "Set-Cookie"]     HTTP::header remove "Set-Cookie"     foreach acookie $ck {           if {$acookie starts_with "JSESSIONID"} {                 HTTP::header insert "Set-Cookie" "${acookie}; HttpOnly"           } else {                 HTTP::header insert "Set-Cookie" "${acookie}; HttpOnly"           }     } }

  • 将irule关联到相应的虚拟服务器
验证
你可以使用任何Web开发人员工具查看” 响应” 标头, 并确保看到以下内容。你也可以使用HTTP标头在线工具进行确认。
有兴趣了解有关F5管理的更多信息吗?请查看Tyco Taygo的在线课程。

    推荐阅读


    上一篇:F5 irule使用X-FRAME-OPTIONS保护点击劫持攻击

    下一篇:8个Drupal安全扫描程序来查找漏洞