Asp.net-Mvc

如何添加到 Azure Session Cookies HttpOnly 和 Secure 屬性

  • July 27, 2017

在我的 ASP.NET MVC 4 應用程序中,我使用了第三方服務。該服務的使用條款之一是向所有會話 cookie 添加 HttpOnly 和 Secure 屬性。

網站託管在 Windows Azure 上並使用 SSL。

我在 root web.config 中添加了以下設置:

<httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/>

<authentication mode="Forms">
   <forms loginUrl="~" timeout="2880" requireSSL="true" />
</authentication>

所以現在我的應用程序會話 cookie“.ASPXAUTH”具有 HttpOnly 和 Secure 屬性。

但是 Azure 平衡器“WAWebSiteSID”和“ARRAffinity”cookie 沒有這個屬性的主要問題。

你能幫我找到合適的解決方案來為它們添加缺失的屬性嗎?

我不相信您可以修改安全和 HttpOnly 屬性,因為 cookie 被添加到應用程序下游的響應中(即通過位於站點前面的負載平衡設備)。

當然,務實的問題是“為什麼”?如果不允許客戶端腳本或網路上的中間人訪問這些 cookie,您將獲得什麼好處?它們只不過是旨在將客戶端與站點實例聯繫起來的數據字節,不包含任何個人性質的內容,也不為攻擊者提供任何可以想像的好處(至少不是我能想到的)。

答案可能是“因為它讓安全掃描工具保持快樂”這可能會讓你感到溫暖和模糊,但當然它實際上並沒有改變網站的實際安全地位。

引用自:https://stackoverflow.com/questions/17750815

相關問答

Asp.net-Mvc

SessionSecurityTokenHandler 嘗試使用 DPAPI 解密 RSA 加密 cookie 中的 SessionSecurityToken;為什麼?

  • September 3, 2014
檢視問答
Asp.net-Mvc

在 Braintree 的 localhost 測試 Webhook

  • July 20, 2021
檢視問答
Asp.net-Mvc

arraffinity cookie 是否始終設置在 azure Web 應用程序上?

  • October 21, 2020
檢視問答
Asp.net

在 .NET 4.5 Azure 部署中找不到編譯器執行檔 csc.exe

  • October 5, 2020
檢視問答
Asp.net-Mvc

未找到 securityToken 的有效鍵映射

  • September 16, 2020
檢視問答
Asp.net-Mvc

將參數傳遞給 Azure Active Directory 身份驗證

  • September 7, 2020
檢視問答