| 名稱 | httpOnlyCookies |
| GPO | IIS |
| 類別 | ASP.NET 堆疊追蹤 |
| 描述 | ▪ 這項原則設定決定 Cookie 是否只能經由 HTTP(S) 協定來存取,其餘的 JavaScript、Silverlight 或 Flash 等前端程式皆無法存取 ▪ 設定網站中的 Cookie 屬性為 HttpOnly,讓 Cookie 只供瀏覽器與網站伺服器間之網頁溝通,可避免 Cookie 被JavaScript 等相關前端程式存取,以降低攻擊者利用網站既有的 XSS 漏洞並透過 JavaScript 取得 Cookie 資料之機會 |
| 設定 | 設定路徑: IIS 管理員\伺服器\站台\網站\管理\設定編輯器\動作\開啟功能\區段\system.web\httpCookies\httpOnlyCookie GCB 設定值: True |