在我的网站项目中,setting to turn on httpOnlyCookies不存在.默认情况下它是假的.此外,代码中没有将cookie设置为HttpOnly的地方.但是,当我浏览到该站点时,我可以看到ASP.NET_Session cookie正在作为HttpOnly传递.怎么设置为HttpOnly?
解决方法
ASP.NET会话cookie仅限HTTP,无论您的问题中链接的httpOnlyCookies设置如何,因为它被刻录到ASP.NET中.你无法覆盖它.
如果深入了解System.Web程序集中的System.Web.SessionState.SessionIDManager类,则创建ASP.NET会话cookie的代码如下所示:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName,id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
