在我的ASP.NET MVC 4应用程序中,我使用第三方服务.而且其中一项服务的使用条款是添加到所有会话cookie HttpOnly和Secure属性.
WebSite托管在Windows Azure上,适用于SSL.
我添加到root web.config中的以下设置:
- <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/>
- <authentication mode="Forms">
- <forms loginUrl="~" timeout="2880" requireSSL="true" />
- </authentication>
所以现在我的应用程序会话cookie“.ASPXAUTH”具有HttpOnly和Secure属性.
但是,Azure Balancer“WAWebSiteSID”和“ARRAffinity”cookie的主要问题不具有此属性.
