asp.net-mvc – 如何添加到Azure会话Cookie HttpOnly和Secure属性
发布时间:2020-05-24 20:36:56 所属栏目:asp.Net 来源:互联网
导读:在我的ASP.NET MVC 4应用程序中,我使用第三方服务.而且其中一项服务的使用条款是添加到所有会话cookie HttpOnly和Secure属性. WebSite托管在Windows Azure上,适用于SSL. 我添加到root web.config中的以下设置: httpCookies httpOnlyCookies=true requireSSL=
|
在我的ASP.NET MVC 4应用程序中,我使用第三方服务.而且其中一项服务的使用条款是添加到所有会话cookie HttpOnly和Secure属性. WebSite托管在Windows Azure上,适用于SSL. 我添加到root web.config中的以下设置: <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/>
<authentication mode="Forms">
<forms loginUrl="~" timeout="2880" requireSSL="true" />
</authentication>
所以现在我的应用程序会话cookie“.ASPXAUTH”具有HttpOnly和Secure属性. 但是,Azure Balancer“WAWebSiteSID”和“ARRAffinity”cookie的主要问题不具有此属性. 你能帮我找到合适的解决方案来添加丢失的属性吗? 解决方法我不相信您可以修改安全和HttpOnly属性,因为Cookie被添加到应用程序下游的响应(即位于站点前面的负载平衡设备).当然,务实的问题是“为什么”?通过不允许客户端脚本或电缆上的MitM访问这些cookie,您将获得什么优势?它们只不过是用于将客户端与站点实例绑定的数据字节数,并且不包含任何个人性质,也不会为攻击者提供任何可想象的上升空间(至少我不能想到). 答案可能是“因为它保持安全扫描工具的快乐”,这可能会让你感到温暖和模糊,但当然这并不意味着实际上不会改变该网站的实际安全位置. (编辑:安卓应用网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net – __doPostBack在DotNetNuke网站上未定义为IE 10
- asp.net – IIS 7.5 Web应用程序首先请求应用程序池回收非常
- asp.net-mvc – 如何使用统一依赖注入的Automapper?
- asp.net-mvc – 是否有一个ASP MVC与JSTL标签等效?
- asp.net – 使用WebAPI时重新验证模型(TryValidateModel等效
- asp.net – AttachDbFilename的问题是什么
- ASP.NET中maxPageStateFieldLength的最佳值是多少?
- asp.net – RegularExpressionValidator VS Ajax 1.0.20229
- asp.net-mvc – 具有指定操作的Response.RedirectToRoute
- asp.net – 当用户使表单失效时,如何点击取消按钮时,如何清
推荐文章
站长推荐
- asp.net-mvc-3 – 列模板kendo ui grid mvc动作链
- asp.net-mvc – 在数据库表中存储用户筛选查询参
- 什么是最小的方式来缩小ASP.NET生成的Javascript
- asp.net – 使用Linq将单个值返回给SQL
- asp.net-mvc – Rotativa / Wkhtmltopdf图像无法
- asp.net-mvc-3 – _AppStart正在执行时无法创建存
- asp.net – .NET Application_BeginRequest – 如
- asp.net – 是否可以根据用户角色隐藏/显示Kendo
- asp.net-mvc – ASP.NET MVC是否有分页解决方案,
- asp.net-mvc – MVC – 一次创建对象和相关对象
热点阅读