网站安全设置：会话cookie中缺少HttpOnly属性的修复

缺少 HttpOnly 属性的Cookie很容易被跨站脚本（XSS）攻击窃取，从而导致用户会话被劫持。

HttpOnly 属性的核心作用是：阻止客户端的JavaScript代码通过 [xss_clean] API访问被标记的Cookie。这样，即使网站存在XSS漏洞，攻击者也无法轻易窃取用户的会话标识符。

在开始之前，请记住一个核心原则：HttpOnly 属性应该在服务器端设置会话Cookie时直接添加到 Set-Cookie 响应头中。 最佳实践是在应用程序代码或Web服务器配置中全局设置。

下面我们分别讲解在IIS、Nginx和Apache下如何修复此漏洞。

Microsoft IIS 下的修复方法

方法一：在web.config文件中配置（推荐，适用于ASP.NET应用程序）

在网站的根目录找到或创建 web.config 文件，并添加如下配置：

<configuration>
  <system.web>
    <!-- 为ASP.NET会话Cookie设置HttpOnly -->
    <sessionState cookieHttpOnly="true" />
    <!-- 为所有ASP.NET创建的Cookie（如Forms Authentication cookie）设置HttpOnly -->
    <httpCookies httpOnlyCookies="true" />
  </system.web>
</configuration>

方法二：使用IIS的URL重写模块设置响应头（通用方法）

如果上述方法不生效，或者你需要为非ASP.NET应用程序（如PHP）设置，可以使用强大的 IIS URL重写模块 作为出站规则来修改响应头。

1 ：安装URL重写模块（如果尚未安装）。

2 ：在IIS管理器中选中网站，打开 “URL重写” 功能。

3 ：在右侧 操作 面板中，点击 “添加规则...”。

4 ：选择 “出站规则” 模板下的 “空白规则”。

5 ：配置规则：

·名称: Set HttpOnly Flag on Session Cookie

·匹配范围: 选择 响应 -> Set-Cookie 头

·条件：添加一个条件，例如匹配包含会话Cookie名称（如 ASP.NET_SessionId）的模式。

·操作：重写

·操作属性:

重写值: {R:1}; HttpOnly （这需要在模式中捕获Cookie原有的内容）

服务器变量: 不需要设置。

这种模式相对复杂，需要编写正则表达式来匹配和重写 Set-Cookie 头。例如，一个简单的规则可能是查找不以 HttpOnly 结尾的特定Cookie，然后为其追加 ; HttpOnly。

Nginx 下的修复方法

Nginx本身不直接生成会话Cookie，但它可以作为反向代理，在将响应发送给客户端之前修改后端应用（如PHP、Python、Java等）返回的 Set-Cookie 头。这是最推荐的Nginx配置方式。

在你的 server 或 location 配置块中，使用 proxy_cookie_path 指令或 more_set_headers 指令。

方法一：使用 proxy_cookie_path（针对特定路径的Cookie，推荐）

这个指令非常适合为代理的Cookie添加 HttpOnly 和 Secure 属性。

server {
    listen 80;
    server_name your_domain.com;

    location / {
        proxy_pass http://your_backend_app_server;
        # 为所有从后端来的Cookie添加HttpOnly和Secure属性
        proxy_cookie_flags ~ secure httponly;
        # 如果你的应用在子路径下，可能需要调整cookie路径
        # proxy_cookie_path / "/; secure; HttpOnly";
    }
}

方法二：使用 more_set_headers 指令（更强大灵活）

这需要先安装 ngx_headers_more 模块。它可以让你直接操作HTTP头。

server {
    listen 80;
    server_name your_domain.com;

    location / {
        proxy_pass http://your_backend_app_server;
        # 使用正则表达式匹配Set-Cookie头，如果不存在HttpOnly则添加
        more_set_headers ‘Set-Cookie: $http_set_cookie; HttpOnly’;
    }
}

一个更安全的写法是同时添加 HttpOnly 和 Secure（假设使用HTTPS）：

more_set_headers ‘Set-Cookie: $http_set_cookie; HttpOnly; Secure’;

最重要的建议：最佳实践是在你的应用程序框架（如Django, Spring, Express.js等）中直接设置 HttpOnly 属性，因为这是最可靠的地方。Nginx的配置应作为一道额外的安全防线。

Apache HTTP Server 下的修复方法

Apache可以通过 mod_headers 模块来修改HTTP响应头。

1：确保 mod_headers 模块已启用。

在Ubuntu/Debian上，通常使用 sudo a2enmod headers 然后重启Apache。

在CentOS/RHEL上，确认 httpd.conf 或模块配置目录中有 LoadModule headers_module modules/mod_headers.so。

2：在虚拟主机配置（<VirtualHost>）或目录配置（<Directory>）或全局配置（httpd.conf）中，使用 Header 指令。

<VirtualHost *:80>
    ServerName your_domain.com
    DocumentRoot /var/www/html

    # 方法一：编辑已有的Set-Cookie头，为其追加HttpOnly属性
    # 这个规则会查找所有Set-Cookie头，如果值中不包含"HttpOnly"，就为其加上
    Header always edit Set-Cookie ^(.*)$ "$1; HttpOnly"

    # 方法二：直接设置或覆盖（不够灵活，可能会重复添加属性，不推荐）
    # Header always set Set-Cookie HttpOnly

    # 强烈建议同时设置Secure属性（如果使用HTTPS）
    # Header always edit Set-Cookie ^(.*)$ "$1; HttpOnly; Secure"
</VirtualHost>

always 参数表示无论响应代码是什么，都应用此头设置。

edit 操作使用正则表达式来修改已存在的头信息。^(.*)$ 匹配整个Cookie值，然后用 $1 引用它，并追加 ; HttpOnly。

重要提示：与方法二的Nginx配置一样，这同样是一道安全防线。最根本的解决方案仍然是在你的应用程序（如PHP、Python等）中正确设置Cookie属性。

对于PHP：在 php.ini 中设置 session.cookie_httponly = 1，或者在代码中使用 session_set_cookie_params 或 ini_set。

ini_set(‘session.cookie_httponly’, 1);
session_start();

对于Java Servlet 3.0+: 在 web.xml 中配置：

<session-config>
    <cookie-config>
        <http-only>true</http-only>
    </cookie-config>
</session-config>

修复后的验证：

完成配置后，务必重启相应的Web服务（IIS， Nginx， Apache），然后使用浏览器的开发者工具（F12）。

访问你的网站并登录。

打开 开发者工具 -> 网络（Network） 标签页。

找到包含 Set-Cookie 头的HTTP响应（通常是登录请求或第一个页面请求）。

检查 Set-Cookie 头，确认其中包含了 HttpOnly 标志。

通过以上步骤，你就可以有效地修复会话Cookie缺少 HttpOnly 属性的安全漏洞。