Я использую IIS URLRewrite, чтобы добавить опцию HttpOnly ко всем исходящим запросам, за исключением того, что она не добавляется для запросов, например, к моей папке ./images/, где установлен файл cookie.
Результат: Set-Cookie: ASPSESSIONIDQECSBATA = KGBFCMFABKMKPHBLFJHPNEJN; обеспечения; путь = /
Мое исходящее правило:
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
Как добавить флаг HttpOnly в файл cookie, установленный для папки с изображениями?