从 Outlook Web Access 设置 cookie 的安全标志

从 Outlook Web Access 设置 cookie 的安全标志

我正在运行 Exchange 2007 SP3,它仅通过 HTTPS 公开 Outlook Web Access。但是,服务器传递的sessionidcookie 没有secure设置标志。即使我没有打开端口 80,如果发生中间人攻击,此 cookie 仍然容易通过端口 80 被盗。这也会导致 PCI-DSS 失败

有人知道我是否可以说服网络服务器/应用程序设置安全标志吗?

答案1

确实可以。你的问题让我很好奇,所以我测试了一下,结果有效。

在 OWA 应用程序的 web.config 中(默认情况下位于安装 Exchange 的驱动器上的 \Program Files\Microsoft\Exchange Server\ClientAccess\Owa),在部分中设置以下内容<system.web>

<httpCookies httpOnlyCookies="true" requireSSL="true"/>

相关内容