如何为ASP.NET_SessionId cookie设置HttpOnly?

前端之家收集整理的这篇文章主要介绍了如何为ASP.NET_SessionId cookie设置HttpOnly?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在我的网站项目中,setting to turn on httpOnlyCookies不存在.默认情况下它是假的.此外,代码中没有将cookie设置为HttpOnly的地方.但是,当我浏览到该站点时,我可以看到ASP.NET_Session cookie正在作为HttpOnly传递.怎么设置为HttpOnly?

解决方法

ASP.NET会话cookie仅限HTTP,无论您的问题中链接的httpOnlyCookies设置如何,因为它被刻录到ASP.NET中.你无法覆盖它.

如果深入了解System.Web程序集中的System.Web.SessionState.SessionIDManager类,则创建ASP.NET会话cookie的代码如下所示:

private static HttpCookie CreateSessionCookie(string id)
{
    HttpCookie cookie = new HttpCookie(Config.CookieName,id);
    cookie.Path = "/";
    cookie.HttpOnly = true;   // <-- burned in
    return cookie;
}

猜你在找的asp.Net相关文章