W moim projekcie WWW setting to turn on httpOnlyCookies nie ma. Domyślnie jest to fałsz. Również nie ma miejsca w kodzie, w którym plik cookie jest ustawiony na HttpOnly. Jednak przeglądając stronę widzę, że plik cookie ASP.NET_Session jest przekazywany jako HttpOnly. Jak jest ustawiony na HttpOnly?W jaki sposób jest ustawiana wartość HttpOnly dla pliku cookie ASP.NET_SessionId?
6
A
Odpowiedz
14
Pliki cookie sesji ASP.NET są tylko HTTP, niezależnie od ustawienia httpOnlyCookies
powiązanego z Twoim pytaniem, ponieważ jest ono wypalane w ASP.NET. Nie możesz tego zmienić.
Jeśli kopać w klasie System.Web.SessionState.SessionIDManager
w zespole system.Web kod do tworzenia pliku cookie sesji ASP.NET wygląda następująco:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName, id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
1
Jest HttpOnly więc sesja cookies nie mogą być modyfikowane przez klienta z JavaScript.
+0
Prawidłowo. Znałem tę część. Przeformułowałem moje pytanie z "dlaczego" na "jak to jest ustawione?" –
Powiązane problemy
- 1. Jak ustawić ustawienie HttpOnly pliku cookie sesji na wartość false?
- 2. Ustawienie HTTPONLY dla klasycznego pliku cookie dla plików Asp
- 3. Ustawienie httponly w pliku cookie JSESSIONID (Java EE 5)
- 4. JQuery Ajax CORS + HttpOnly Cookie
- 5. Jak ustawić flagę httpOnly w pliku ngCookies?
- 6. Zmień nazwę ASP.NET_SessionId
- 7. Ustaw wartość pliku cookie w pliku Node.js
- 8. jaki jest domyślny czas wygaśnięcia pliku cookie?
- 9. W jaki sposób przeliczana jest wartość NSObject?
- 10. Jak uzyskać wartość domeny dla pliku cookie w JavaScript?
- 11. Jaki jest najlepszy sposób uzyskania cookie według nazwy w JavaScript?
- 12. httpOnly Session Cookie + Servlet 3.0 (np. Glassfish v3)
- 13. W jaki sposób `({...})` zwraca wartość?
- 14. Sprawdzanie, czy użytkownik zmienił wartość pliku cookie, ręcznie
- 15. Get wartość cookie w java
- 16. W jaki sposób można używać plików cookie z systemem Superagent?
- 17. Dynamicznie ustawiana wysokość ViewPager
- 18. gdzie jest "bezpieczny" znacznik w pliku cookie Magento na bezpiecznej witrynie SSL?
- 19. cookie traci wartość w ASP.net
- 20. Nagłówek Set-Cookie nie ustawia pliku cookie w przeglądarce Chrome
- 21. HttpOnly ciasteczka nie wysłane zamówienie
- 22. Jaki jest odpowiednik #I dla pliku .fsproj?
- 23. W jaki sposób kod jest przechowywany w pliku wykonywalnym?
- 24. Czy setcookie w PHP może dać wiele nagłówków "Set-Cookie"?
- 25. Prostszy sposób dodania pliku cookie/zmiennej XDEBUG_SESSION_START?
- 26. Bezpieczny sposób kodowania wartości pliku cookie w języku C#
- 27. W jaki sposób wartość szesnastkowa jest manipulowana bitowo?
- 28. W jaki sposób powiązana jest nazwa i jej wartość referencyjna?
- 29. W jaki sposób ułatwić zapamiętanie głosowania za pomocą plików cookie?
- 30. W clojure/ring, w jaki sposób mogę usunąć plik cookie?
znaleziona dokumentacja tutaj: http://msdn.microsoft.com/en-us/library/aa480476.aspx "HttpOnly Ta właściwość określa, czy plik cookie może być dostępny przez skrypt klienta. W ASP.NET 2.0 ta wartość jest zawsze ustawione na true. " –
@dev - Właśnie zagłębiłem się w zestawie System.Web.dll, aby rzucić okiem :) – Kev
Ważna jest również część pod nim. Starsze przeglądarki nie obsługują HttpOnly i mogą albo zignorować plik cookie, albo zignorować atrybut, ten drugi pozostawia otwartą witrynę na ataki XSS. –