我需要将httponly
和secure
标志设置为我网站的所有cookie,以通过我客户的安全扫描。我认为web.config配置正确
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" />
字符串
它对我在应用程序中创建的所有cookie都有效,但对google analitycs的cookie无效(我知道我对此无能为力),我认为是asp.net的会话cookie(ai_user
和ai_session
)。
的数据
搜索这两个cookie没有结果。如何强制httponly
和secure
标志?
我不知道这是否相关,但我也有这个重写规则
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" />
</rule>
</rules>
</rewrite>
型
我试着让它失效,但没有任何改变
3条答案
按热度按时间tsm1rwdh1#
我偶然发现“ai_session”和“ai_user”cookie现在与我的项目,我认为他们是从应用程序的见解。如果你进一步调查,请向社区报告。
daupos2t2#
HTTP only标志不能普遍应用,因为这将阻止XSRF-Token被利用并导致安全问题。一些cookie没有HTTPOnly标志,因为它们被前端用来促进对应用程序的访问(ai_session,ai_user,idsrv_session)。
ru9i0ody3#
要求SSL的正确方法是通过全局过滤器
字符串