【发布时间】:2013-11-21 15:04:05
【问题描述】:
您能否告知我们是否需要保护 cookie.ASPXANONYMOUS?
谢谢。
【问题讨论】:
【发布时间】:2013-11-21 15:04:05
【问题描述】:
如果您确定匿名用户 cookie 应仅受 SSL 保护,那么您可以在 web.config 中使用 anonymousIdentification 元素对其进行调整。
<anonymousIdentification
enabled="true"
cookieRequireSSL="true"
/>
cookieRequireSSL
指定 cookie 在传输到客户端时是否需要安全套接字层 (SSL) 连接。因为 ASP.NET 设置了身份验证 cookie 属性 Secure,所以除非使用 SSL 连接,否则客户端不会返回 cookie。 默认为 false。
【讨论】:
这是一个 cookie,用于存储匿名用户的唯一 ID,您可以使用它来跟踪单个用户的数据。更多信息:http://msdn.microsoft.com/en-us/library/system.web.httprequest.anonymousid(v=vs.110).aspx
安全是指设置secure flag?
这取决于。如果您要为匿名用户存储敏感信息,并且您的站点在访问此信息的任何地方都使用 HTTPS,那么是的,这是一个好主意。通常您只会存储已识别用户的敏感信息,但我猜匿名令牌有时可能包含攻击者可能想要检索的信息(例如,如果匿名购物篮有时包含代金券,那么攻击者劫持可能是值得的这些会话来窃取它们)。
【讨论】:
@silverlightfox 的回答是关于你是否为你的匿名存储任何信息不再成立。如今(随着主要浏览器开始警告用户所有未通过 HTTPS 提供服务的网站),您应该保护此 cookie 和所有其他 cookie。
【讨论】: