网站被甲方拿去找安全公司扫描漏洞,有一条是检测到会话cookie中缺少HttpOnly属性
意思大概是通过js可以获得用户的cookie信息从而进行攻击
更改方法:
请在 login.asp文件里加上这句代码:
Response.Cookies("username").Expires=DateAdd("n",60,now()) Response.Cookies("id").Expires=DateAdd("n",60,now()) Session.Timeout = 60
办法二:
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"