103
Jak ustawić bezpieczną flagę na pliku ASP.NET Session Cookie, aby była przesyłana tylko przez HTTPS i nigdy przez zwykły HTTP?Jak ustawić bezpieczną flagę na pliku cookie sesji ASP.NET?
A
Odpowiedz
82
Istnieją dwa sposoby, jeden httpCookies elementem web.config pozwala włączyć requireSSL który tylko przekazuje wszystkie ciasteczka w tym sesji SSL tylko i również wewnątrz uwierzytelnianie formularzy, ale jeśli włączyć SSL na httpcookies należy również włączyć również w konfiguracji formularzy.
Edycja dla jasności: umieścić to w <system.web>
<httpCookies requireSSL="true" />
130
W elemencie <system.web> dodaj następujący element:
<httpCookies requireSSL="true" />
Jednakże, jeśli masz <forms> element Twój blok system.web\authentication, to zastąpi ustawienie w httpCookies, przywracając domyślną wartość false. W takim przypadku należy dodać atrybut requireSSL="true" również do elementu formularzy.
więc skończy się z:
<system.web>
<authentication mode="Forms">
<forms requireSSL="true">
<!-- forms content -->
</forms>
</authentication>
</system.web>
+2
Drobna edycja (potrzebujesz węzła auth w tym systemie btw.internetowych i formy):
+1
Można uniknąć innych ustawień web.config nadrzędnego katalogu
+0
Dodatkowo, jeśli istnieje element 'roleManager', jego atrybut' cookieRequireSSL = "true" 'powinien również ustaw na true. Ref. https://msdn.microsoft.com/en-us/library/system.web.security.roles.cookierequiressl(v=vs.110).aspx –
12
Rzeczy stają się niechlujne szybko, jeśli mówimy o kodzie odprawionym w środowisku przedsiębiorstwa. Odkryliśmy, że najlepszym rozwiązaniem jest mieć web.Release.config zawierać następujące elementy:
<system.web>
<compilation xdt:Transform="RemoveAttributes(debug)" />
<authentication>
<forms xdt:Transform="Replace" timeout="20" requireSSL="true" />
</authentication>
</system.web>
ten sposób, twórcy nie mają wpływu (uruchomiony w Debug), a tylko serwery, które się buduje Release wymagają plików cookie jako SSL.
Powiązane problemy
- 1. ustawić plik cookie, aby wygasł na koniec sesji? asp.net
- 2. Jak ustawić ustawienie HttpOnly pliku cookie sesji na wartość false?
- 3. Jak ustawić flagę httpOnly w pliku ngCookies?
- 4. Jak ustawić czas wygaśnięcia cookie sesji rails na "sesja"
- 5. Hasło użytkownika sklepu ASP.Net Store w pliku cookie sesji?
- 6. Jak zaszyfrować identyfikator sesji w pliku cookie?
- 7. Plik cookie sesji ASP.net utracony lub usunięty
- 8. WKWebView nie wysyła pliku cookie sesji
- 9. osobne aplikacje korzystające z tej samej sesji ASP.Net Cookie
- 10. Jak ustawić plik cookie sesji za pomocą oprogramowania pośredniego BrowserSync?
- 11. ASP.NET MVC TempData w pliku cookie przeglądarki
- 12. Jak zmienić Play 2.1! Nazwa pliku cookie sesji ramowej
- 13. Jak ustawić flagę do debuggowania dla chrome?
- 14. Czy FormsAuthentication.SetAuthCookie() tworzy plik cookie na podstawie sesji?
- 15. Czy można ustawić ścieżkę cookie sesji w Google App Engine?
- 16. Jak ustawić odchodzenie Timeout flagę na "test Go"
- 17. Zmodyfikuj czas ważności pliku cookie sesji i limit czasu sesji sesji CakePHP
- 18. co jest lepsze dodać flagę lub ustawić flagę wzgląd na pełnym ekranie i ekran na
- 19. .ASPXAUTH Cookie wygasa z końcem sesji
- 20. Zmuszając Tomcat do używania bezpiecznego pliku cookie JSESSIONID przez http
- 21. GWT: Przechowywanie identyfikatora sesji w pliku cookie, a następnie co?
- 22. Jak zmienić domenę plików cookie sesji dla istniejących użytkowników
- 23. Używanie pliku cookie sesji z selenu w urllib2
- 24. Plik cookie sesji z indem
- 25. Jak ustawić zmienną sesji w jquery?
- 26. Jak ustawić cookie w Jersey?
- 27. Flask 0.10 dając Unicode błąd w pliku cookie sesji
- 28. Wyłączyć sesję cookie udostępniania sesji Chrome?
- 29. Stan sesji ASP.NET MVC
- 30. Pliki cookie sesji tylko dla określonych tras
+1 To działało. Dzięki! – Alex
+1 Aby wyjaśnić, jest to, co powinieneś dodać do pliku web.config, aby ustawić bezpieczną flagę pliku cookie auth na true '
Pamiętaj, że to zależy od twojego (serwer-poziom) konfiguracja. Zmniejszyłem region testowy z błędem "Aplikacja jest skonfigurowana do wysyłania bezpiecznych plików cookie. Te pliki cookie wymagają, aby przeglądarka wysłała żądanie przez SSL (protokół https), ale bieżące żądanie nie jest przez SSL." Dzieje się tak dlatego, że mamy odwrotny serwer proxy, a przeglądarki łączą się z nim za pośrednictwem protokołu SSL, ale odwrotne proxy do serwera IIS ma port 80, więc aplikacja nie uznała, że jest zabezpieczony. – mlhDev