srcmini通过以下F5 iRules保护Web应用程序免受XSS攻击
有多种方法可以保护应用程序中的cookie, 但最简单的方法总是像F5一样位于网络边缘。
下面的示例基于你的以JSESSIONID开头的Web应用程序cookie给出。如果还有其他内容, 可以进行相应的修改。
下面将在头响应中以JSESSIONID开头的Set-Cookie中添加HTTPOnly和Secure标志。
使用iRule实施
- 使用以下方法创建irule
when HTTP_RESPONSE {
HTTP::cookie secure "JSESSIONID" enable
set ck [HTTP::header values "Set-Cookie"]
HTTP::header remove "Set-Cookie"
foreach acookie $ck {
if {$acookie starts_with "JSESSIONID"} {
HTTP::header insert "Set-Cookie" "${acookie}; HttpOnly"
} else {
HTTP::header insert "Set-Cookie" "${acookie}; HttpOnly"
}
}
}- 将irule关联到相应的虚拟服务器
验证
你可以使用任何Web开发人员工具查看”响应”标头, 并确保看到以下内容。你也可以使用HTTP标头在线工具进行确认。
有兴趣了解有关F5管理的更多信息吗?请查看Tyco Taygo的在线课程。
评论前必须登录!
注册