asp.net-mvc – 如何添加到Azure会话Cookie HttpOnly和Secure属性

前端之家收集整理的这篇文章主要介绍了asp.net-mvc – 如何添加到Azure会话Cookie HttpOnly和Secure属性前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在我的ASP.NET MVC 4应用程序中,我使用第三方服务.而且其中一项服务的使用条款是添加到所有会话cookie HttpOnly和Secure属性.

WebSite托管在Windows Azure上,适用于SSL.

添加到root web.config中的以下设置:

<httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/>

<authentication mode="Forms">
    <forms loginUrl="~" timeout="2880" requireSSL="true" />
</authentication>

所以现在我的应用程序会话cookie“.ASPXAUTH”具有HttpOnly和Secure属性.

但是,Azure Balancer“WAWebSiteSID”和“ARRAffinity”cookie的主要问题不具有此属性.

你能帮我找到合适的解决方案来添加丢失的属性吗?

解决方法

我不相信您可以修改安全和HttpOnly属性,因为Cookie被添加到应用程序下游的响应(即位于站点前面的负载平衡设备).

当然,务实的问题是“为什么”?通过不允许客户端脚本或电缆上的MitM访问这些cookie,您将获得什么优势?它们只不过是用于将客户端与站点实例绑定的数据字节数,并且不包含任何个人性质,也不会为攻击者提供任何可想象的上升空间(至少我不能想到).

答案可能是“因为它保持安全扫描工具的快乐”,这可能会让你感到温暖和模糊,但当然这并不意味着实际上不会改变该网站的实际安全位置.

猜你在找的asp.Net相关文章