W moim projekcie WWW setting to turn on httpOnlyCookies nie ma. Domyślnie jest to fałsz. Również nie ma miejsca w kodzie, w którym plik cookie jest ustawiony na HttpOnly. Jednak przeglądając stronę widzę, że plik cookie ASP.NET_Session jest przekazywany jako HttpOnly. Jak jest ustawiony na HttpOnly?W jaki sposób jest ustawiana wartość HttpOnly dla pliku cookie ASP.NET_SessionId?
Pliki cookie sesji ASP.NET są tylko HTTP, niezależnie od ustawienia httpOnlyCookies powiązanego z Twoim pytaniem, ponieważ jest ono wypalane w ASP.NET. Nie możesz tego zmienić.
Jeśli kopać w klasie System.Web.SessionState.SessionIDManager w zespole system.Web kod do tworzenia pliku cookie sesji ASP.NET wygląda następująco:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName, id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
Jest HttpOnly więc sesja cookies nie mogą być modyfikowane przez klienta z JavaScript.
Prawidłowo. Znałem tę część. Przeformułowałem moje pytanie z "dlaczego" na "jak to jest ustawione?" –
znaleziona dokumentacja tutaj: http://msdn.microsoft.com/en-us/library/aa480476.aspx "HttpOnly Ta właściwość określa, czy plik cookie może być dostępny przez skrypt klienta. W ASP.NET 2.0 ta wartość jest zawsze ustawione na true. " –
@dev - Właśnie zagłębiłem się w zestawie System.Web.dll, aby rzucić okiem :) – Kev
Ważna jest również część pod nim. Starsze przeglądarki nie obsługują HttpOnly i mogą albo zignorować plik cookie, albo zignorować atrybut, ten drugi pozostawia otwartą witrynę na ataki XSS. –