HttpCookie.HttpOnly Eigenschaft
Definition
Wichtig
Einige Informationen beziehen sich auf Vorabversionen, die vor dem Release ggf. grundlegend überarbeitet werden. Microsoft übernimmt hinsichtlich der hier bereitgestellten Informationen keine Gewährleistungen, seien sie ausdrücklich oder konkludent.
Ruft einen Wert ab, der angibt, ob ein clientseitiges Skript auf ein Cookie zugreifen kann, oder liegt diesen fest.
public:
property bool HttpOnly { bool get(); void set(bool value); };public bool HttpOnly { get; set; }member this.HttpOnly : bool with get, setPublic Property HttpOnly As BooleanEigenschaftswert
true, wenn das Cookie das HttpOnly-Attribut besitzt und ein clientseitiges Skript nicht auf das Cookie zugreifen kann, andernfalls false. Der Standardwert ist false.
Beispiele
Das folgende Codebeispiel veranschaulicht, wie ein HttpOnly Cookie geschrieben wird, und zeigt, dass der Client nicht über ECMAScript darauf zugreifen kann.
<%@ Page Language="C#" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
void Page_Load(object sender, EventArgs e)
{
// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);
}
</script>
<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
<title>ASP.NET Example</title>
</head>
<body>
<script type="text/javascript">
function getCookie(NameOfCookie)
{
if (document.cookie.length > 0)
{
begin = document.cookie.indexOf(NameOfCookie+"=");
if (begin != -1)
{
begin += NameOfCookie.length+1;
end = document.cookie.indexOf(";", begin);
if (end == -1) end = document.cookie.length;
return unescape(document.cookie.substring(begin, end));
}
}
return null;
}
</script>
<script type="text/javascript">
// This code returns the cookie name.
alert("Getting HTTP Cookie");
alert(getCookie("MyHttpCookie"));
// Because the cookie is set to HttpOnly,
// this returns null.
alert("Getting HTTP Only Cookie");
alert(getCookie("MyHttpOnlyCookie"));
</script>
</body>
</html>
<%@ Page Language="VB" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs)
' Create a new HttpCookie.
Dim myHttpCookie As New HttpCookie("LastVisit", DateTime.Now.ToString())
' By default, the HttpOnly property is set to false
' unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie"
Response.AppendCookie(myHttpCookie)
' Show the name of the cookie.
Response.Write(myHttpCookie.Name)
' Create an HttpOnly cookie.
Dim myHttpOnlyCookie As New HttpCookie("LastVisit", DateTime.Now.ToString())
' Setting the HttpOnly value to true, makes
' this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = True
myHttpOnlyCookie.Name = "MyHttpOnlyCookie"
Response.AppendCookie(myHttpOnlyCookie)
' Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name)
End Sub
</script>
<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
<title>ASP.NET Example</title>
</head>
<body>
<script type="text/javascript">
function getCookie(NameOfCookie)
{
if (document.cookie.length > 0)
{
begin = document.cookie.indexOf(NameOfCookie+"=");
if (begin != -1)
{
begin += NameOfCookie.length+1;
end = document.cookie.indexOf(";", begin);
if (end == -1) end = document.cookie.length;
return unescape(document.cookie.substring(begin, end));
}
}
return null;
}
</script>
<script type="text/javascript">
// This code returns the cookie name.
alert("Getting HTTP Cookie");
alert(getCookie("MyHttpCookie"));
// Because the cookie is set to HttpOnly,
// this returns null.
alert("Getting HTTP Only Cookie");
alert(getCookie("MyHttpOnlyCookie"));
</script>
</body>
</html>
Hinweise
Microsoft Internet Explorer Version 6 Service Pack 1 und höher unterstützt die Cookieeigenschaft HttpOnly, die dazu beitragen kann, Bedrohungen durch websiteübergreifende Skripterstellung, die zu gestohlenen Cookies führen, zu minimieren. Gestohlene Cookies können vertrauliche Informationen enthalten, die den Benutzer auf der Website identifizieren, z. B. die ASP.NET Sitzungs-ID oder Formular-Authentifizierungsticket, und können vom Angreifer wiedergegeben werden, um sich als Benutzer zu tarnen oder vertrauliche Informationen zu erhalten. Wenn ein HttpOnly Cookie von einem konformen Browser empfangen wird, kann für clientseitige Skripts nicht darauf zugegriffen werden.
Achtung
Das Festlegen der HttpOnly Eigenschaft auf true hindert einen Angreifer mit Zugriff auf den Netzwerkkanal nicht daran, direkt auf das Cookie zuzugreifen. Erwägen Sie die Verwendung von Secure Sockets Layer (SSL), um sich davor zu schützen. Die Sicherheit der Arbeitsstation ist ebenfalls wichtig, da ein böswilliger Benutzer ein geöffnetes Browserfenster oder einen Computer mit persistenten Cookies verwenden kann, um Zugriff auf eine Website mit einer legitimen Benutzeridentität zu erhalten.
