安全 Cookie 问题:Cookie 有时只是安全的

【问题标题】:Secure Cookie Issue: Cookies only secure sometimes安全 Cookie 问题:Cookie 有时只是安全的
【发布时间】:2013-11-29 18:58:43
【问题描述】:

我正在尝试保护从我的 ASP.NET 应用程序返回的 cookie。

我在 web.config 中设置了 requireSSL="true",但看起来 cookie 有时只是安全的。我会在 Firebug 或 Chrome 开发工具中检查请求,有时 cookie 是安全的(看起来这通常是我第一次访问该页面,但后续访问它们并不安全)。

Chrome 开发工具截图:http://i.imgur.com/jII0KDI.png

有人知道为什么会发生这种情况吗?

感谢您的帮助!

Web.Config 设置

<system.web>
    <httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>

【问题讨论】:

  • 看起来是正确的。服务器上是否还有其他应用程序?集群中是否还有其他服务器错过了此设置?
  • 感谢您的评论。这是一个单一的服务器配置,所以这不是一个错过配置的负载平衡方案。还有其他想法吗?
  • 您需要更多帮助吗?让我知道,如果是,我会更新我的答案。

标签: asp.net security cookies


【解决方案1】:

它很可能会起作用。

Chrome 开发工具仅在响应而不是请求中显示标记为 HTTP Only 和 Secure 的 cookie,因此您的设置可能有效。似乎它可能是 Chrome 开发工具中的错误,或者它仅显示请求中提供的内容(它们是安全的或仅 HTTP 的事实并未在实际的 HTTP 请求中指示,仅将值发送到服务器)。无论哪种方式,我认为它应该在这些列中显示 N/A 以表明它们不适用于 HTTP 请求。

要验证您的 cookie 是否已正确设置,您可以尝试使用 Edit This Cookie 扩展名。这将为每个 cookie 指明它是否应用了 SecureHTTP Only 属性。

【讨论】:

    【解决方案2】:

    您能否详细说明安全的含义?如果设置了 sslonly 标志,那么所有 cookie 将仅通过加密连接发送。但这并不妨碍你在调试器中看到

    【讨论】:

    • 问题是我看不到调试器中的值。我担心的是这些值不会一直与安全标志一起返回。似乎第一次安全返回,但不是所有后续时间。
    猜你喜欢
    • 1970-01-01
    • 2021-03-31
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-01-22
    • 2014-11-26
    • 2012-02-09
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode