使用F5 iRule来保护带有HTTPOnly和Secure的Cookie

通过以下F5 iRules来保护Web应用程序免受XSS攻击

保护应用程序中的Cookie有多种方法,但最简单的方法始终是在网络边缘进行,比如F5。

以下示例是基于您的Web应用程序的Cookie以JSESSIONID开头。如果您有其他内容,可以进行相应修改。

以下内容将在响应头部的Set-Cookie中以JSESSIONID开头的Cookie中添加HTTPOnly和Secure标志。

使用iRule实施

  • 创建以下iRule
when HTTP_RESPONSE {
 HTTP::cookie secure "JSESSIONID" enable
   set ck [HTTP::header values "Set-Cookie"]
   HTTP::header remove "Set-Cookie"
   foreach acookie $ck {
      if {$acookie starts_with "JSESSIONID"} {
         HTTP::header insert "Set-Cookie" "${acookie}; HttpOnly"
      } else {
         HTTP::header insert "Set-Cookie" "${acookie}; HttpOnly"
      }
   }
 }
  • 将iRule与相应的虚拟服务器关联

验证

您可以使用任何Web开发工具查看响应头部,确保您看到以下内容。您也可以使用HTTP Header在线工具来确认。

想了解更多关于F5管理的内容吗?查看这个online course by Tyco Taygo

类似文章