我正在运行Exchange 2007 SP3,它只通过HTTPS公开Outlook Web访问。 但是,服务器提供的sessionid cookie没有设置secure标志。 尽pipe我没有打开80端口,但在中间人攻击的情况下,这个cookie仍然很容易被80端口盗取。 这也会导致PCI-DSS故障
有谁知道我是否可以说服Web服务器/应用程序设置安全标志?
确实可以。 你的问题让我好奇,所以我testing了它,它的工作原理。
在OWA应用程序的web.config中(默认情况下,它位于安装Exchange的驱动器上的\ Program Files \ Microsoft \ Exchange Server \ ClientAccess \ Owa)中,在<system.web>部分中设置以下内容:
<httpCookies httpOnlyCookies="true" requireSSL="true"/>