我正在运行 Exchange 2007 SP3,它仅通过 HTTPS 公开 Outlook Web Access。但是,服务器传递的sessionid
cookie 没有secure
设置标志。即使我没有打开端口 80,如果发生中间人攻击,此 cookie 仍然容易通过端口 80 被盗。这也会导致 PCI-DSS 失败
有人知道我是否可以说服网络服务器/应用程序设置安全标志吗?
答案1
确实可以。你的问题让我很好奇,所以我测试了一下,结果有效。
在 OWA 应用程序的 web.config 中(默认情况下位于安装 Exchange 的驱动器上的 \Program Files\Microsoft\Exchange Server\ClientAccess\Owa),在部分中设置以下内容<system.web>
:
<httpCookies httpOnlyCookies="true" requireSSL="true"/>