Configuración de HTTPOnly para la cookie de sesión en ASP clásico

Código ASP clásico

"HttpOnly" es una bandera o atributo de seguridad que se puede establecer en una cookie HTTP para indicar que la cookie solo debe ser accesible a través del protocolo HTTP y no a través de scripts del lado del cliente, como JavaScript. Cuando se establece la bandera "HttpOnly" en una cookie, esta no puede ser accedida o modificada mediante scripts en el navegador, lo que ayuda a prevenir ataques de cross-site scripting (XSS).

Las ventajas de utilizar "HttpOnly"

Ventajas de utilizar la bandera "HttpOnly" en cookies son las siguientes:

  1. Mejora la seguridad: Al establecer la bandera "HttpOnly" en una cookie, se reduce el riesgo de ataques de XSS, ya que los scripts del lado del cliente no pueden acceder ni manipular la cookie. Esto ayuda a proteger la información sensible almacenada en la cookie, como identificadores de sesión o datos de autenticación.

  2. Mitiga el riesgo de robo de cookies: Las cookies son utilizadas para mantener el estado de una sesión de usuario en una aplicación web. Si una cookie de sesión es robada por un atacante, éste podría hacerse pasar por el usuario legítimo y acceder a su cuenta. Al utilizar la bandera "HttpOnly", se reduce el riesgo de robo de cookies a través de ataques de XSS.

  3. Cumple con las mejores prácticas de seguridad: La configuración de la bandera "HttpOnly" en las cookies es una práctica recomendada en el desarrollo seguro de aplicaciones web. Es una medida adicional de seguridad que puede ayudar a proteger la privacidad y confidencialidad de los datos de los usuarios.

Es importante tener en cuenta que la bandera "HttpOnly" debe utilizarse junto con otras medidas de seguridad, como la transmisión segura a través de HTTPS, la validación y filtrado adecuado de datos de entrada, y la implementación de políticas de seguridad en el servidor, para garantizar una protección completa contra posibles amenazas de seguridad.

Establecer HTTPonly con web.config para ASP clásico




   <rewrite>
            <outboundRules>
                <rule name="Add HttpOnly" preCondition="No HttpOnly">
                    <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
                    <action type="Rewrite" value="{R:0}; HttpOnly" />
                    <conditions>
                    </conditions>
                </rule>
                <preConditions>
                    <preCondition name="No HttpOnly">
                        <add input="{RESPONSE_Set_Cookie}" pattern="." />
                        <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
                    </preCondition>
                </preConditions>
            </outboundRules>
        </rewrite>




tags: Cookie de sesión, HttpOnly, Seguridad en ASP, Configuración de cookies, Cross-site scripting (XSS), Gestión de sesiones, ASPSessionID, asp clasico, httponly cookie

En esta sección encontrarás una mezcla de códigos recopilados de fuentes públicas de Internet y otros creados por ASP TEAM. Compartimos recursos útiles de buena fe para formar una base de conocimiento en el desarrollo de aplicaciones en ASP Clásico.