表单身份验证 Cookie - 为什么选择 SSL？

Question

我看到在 ASP.NET 中使用 formsAuthentication 时的指导是通过 requireSSL 属性使用 SSL。

我的印象是 cookie 的内容是加密的。所以我想了解为什么还需要 SSL？

Answer 1

问题不在于 cookie，而在于发送用户名和密码。使用 SSL 将阻止该交易被拦截（如果用户会费心检查证书grin，它会提供一定程度的保证）

Answer 2

我也有同样的问题！

我对@blowdart 对在您登录时看不到敏感信息的网站的回答有些满意。 绝对肯定您应该通过 SSL 登录 - 但如果有人可以访问您的 cookie，他们可以冒充您直到它过期。

http://msdn.microsoft.com/en-us/library/ms998310.aspx

为了防止表单身份验证 cookie 被捕获并 在穿越时被篡改 网络，请确保您使用 SSL 所有需要认证的页面 访问和限制表格 SSL 通道的身份验证票 通过在 元素。

将表单身份验证 cookie 限制为 SSL 通道

在元素上设置requireSSL="true"，如图 以下代码。

通过设置 requireSSL="true"，您可以设置安全 cookie 属性 确定浏览器是否应该 将 cookie 发送回服务器。 使用安全属性集， cookie 仅由浏览器发送到 使用请求的安全页面 HTTPS URL。

注意：如果您使用的是无 cookie 会话，则必须确保 身份验证票永远不会 通过不安全的方式传输 频道。