servicestack 中的安全会话 cookie

【问题标题】:secure session cookie in servicestackservicestack 中的安全会话 cookie
【发布时间】:2014-08-09 10:52:15
【问题描述】:

谁能告诉我如何让 ServiceStack 在会话 cookie 上使用安全属性,以便只在基于 https 的请求上发送 cookie。这对于帮助防止会话劫持很重要。到目前为止,我的测试表明,如果在 https 网站上完成 ServiceStack 身份验证,它仍然会将 cookie 设置为不安全,这意味着如果站点中有任何 http 请求,则可以捕获 cookie。

是否有设置或配置可以更改此设置?

【问题讨论】:

    标签: servicestack session-cookies


    【解决方案1】:

    您可以使用Config.UseSecureCookies 选项告诉ServiceStack 在HTTPS 请求中为SessionIds 添加一个安全cookie:

    SetConfig(new HostConfig { 
  UseSecureCookies = true
});

    【讨论】:

    • 这似乎被命名为UseSecureCookies
    • 这应该添加安全标志?我仍然收到从/auth/Credentials 返回的set-cookie: X-UAId=1; expires=Mon, 04 Jun 2040 08:06:27 GMT; path=/; samesite=none; httponly,然后 Chrome 抱怨 A cookie ... 设置为 SameSite=None 但没有 Secure
    • @specimen 这是在 https 上吗?
    • 是发给Vue开发服务器的,所以不是。
    • @specimen 它是按设计工作的,安全 cookie 只能通过安全通道发送。
    猜你喜欢
    • 2011-04-08
    • 1970-01-01
    • 2023-03-12
    • 2018-10-10
    • 1970-01-01
    • 2021-12-03
    • 2012-04-12
    • 2012-09-05
    • 2013-02-03
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode