F5 iRule zum Sichern von Cookies mit HTTPOnly und Secure

Schützen Sie Ihre Webanwendung vor XSS-Angriffen durch folgende F5 iRules

Es gibt mehrere Möglichkeiten, Cookies in Ihrer Anwendung zu sichern, aber der einfachste Weg ist immer am Netzwerkrand wie F5.

Das folgende Beispiel basiert auf dem Cookie Ihrer Webanwendung, das mit JSESSIONID beginnt. Wenn Sie etwas anderes haben, können Sie es entsprechend ändern.

Das folgende Beispiel fügt HTTPOnly und Secure Flag in Set-Cookie beginnend mit JSESSIONID in der Header-Antwort hinzu.

So implementieren Sie mit iRule

• Erstellen Sie eine iRule mit folgendem Inhalt

wenn HTTP_RESPONSE {
 HTTP::Cookie sicher "JSESSIONID" aktivieren
    set ck [HTTP::header Werte "Set-Cookie"]
    HTTP::header entfernen "Set-Cookie"
    foreach acookie $ck {
       if {$acookie beginnt_mit "JSESSIONID"} {
          HTTP::header einfügen "Set-Cookie" "${acookie}; HttpOnly"
       } sonst {
          HTTP::header einfügen "Set-Cookie" "${acookie}; HttpOnly"
       }
    }
 }

• Verbinden Sie irule mit dem entsprechenden virtuellen Server

Zum Überprüfen

Sie können ein beliebiges Webentwickler-Tool verwenden, um die Antwort-Header anzuzeigen und sicherzustellen, dass Sie Folgendes sehen. Sie können auch das HTTP Header Online-Tool verwenden, um dies zu bestätigen.

Möchten Sie mehr über die F5-Administration erfahren? Sehen Sie sich diesen Online-Kurs von Tyco Taygo an.