使 ASP.NET cookie 安全

【问题标题】:Make ASP.NET cookie secure使 ASP.NET cookie 安全
【发布时间】:2016-06-07 14:22:44
【问题描述】:

我有一个在 SSL 上运行的应用程序,我已经在我的 web.config 中的 System.Web 下添加了以下内容。

<httpCookies requireSSL="true" httpOnlyCookies="true" lockItem="true" />

但我仍然得到一个名为“cookieSesssion1”的不安全 cookie。它没有被标记为安全。

请告诉我我可以将其标记为安全。

编辑: 除了 Web.config 指令之外,我的 Global.asax 文件中还有以下代码。

protected void Application_EndRequest(object sender, EventArgs e)
{
    if (Response.Cookies.Count > 0)
    {
        foreach (string s in Response.Cookies.AllKeys)
        {
            Response.Cookies[s].Secure = true;
        }
    }
}

以下是 Firebox 调试的屏幕截图:

我错过了什么,请帮忙

【问题讨论】:

  • 也许this - This setting is overridden by any other feature that exposes the requireSSL configuration (for example: the forms Element for authentication (ASP.NET Settings Schema)). ?
  • 这个 cookiesession1 是否与某些 Secure Token Service cookie 有关?
  • 不,我在应用程序中使用普通会话,我什至没有引用这个 cookie

标签: c# asp.net .net session-cookies


【解决方案1】:

FortiWeb Web 应用防火墙 (WAF) 会话 cookie 名为 cookiesession1

对于来自客户端的第一个 HTTP/HTTPS 请求,FortiWeb 会在响应的 HTTP 标头中的 Set-Cookie: 字段中嵌入一个 cookie。它被命名为 cookiesession1。 (FortiWeb 不会单独使用源 IP 地址和时间戳进行会话:NAT 可以隐藏多个客户端;可以更改时钟。)

http://help.fortinet.com/fweb/537/Content/FortiWeb/fortiweb-admin/http_sessions_security.htm

http://help.fortinet.com/fweb/536/Content/FortiWeb/fortiweb-admin/global_object_white_list.htm

【讨论】:

    猜你喜欢
    • 2012-02-09
    • 1970-01-01
    • 2015-12-30
    • 1970-01-01
    • 2013-01-19
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode