Asp.net

通過 HTTPS 在 ASP.NET 中保護會話 cookie

  • October 25, 2013

讀完這個/後有點好奇。關於劫持 HTTPS cookie 的文章。我稍微追踪了一下,我偶然發現的一個很好的資源列出了一些在這裡保護 cookie 的方法。我必須使用 adsutil,還是在 web.config 的 httpCookies 部分中設置 requireSSL 會覆蓋所有其他會話 cookie(在此處介紹)?還有什麼我應該考慮進一步加強會議的嗎?

https://www.isecpartners.com/media/12009/web-session-management.pdf

一份 19 頁的白皮書“使用 Cookie 進行 Web 應用程序的安全會話管理”

它們涵蓋了許多我以前從未在一個地方看到過的安全問題。值得一讀。

用於控制它的 web.config 設置位於 System.Web 元素內部,如下所示:

<httpCookies httpOnlyCookies="true" requireSSL="true" />

引用自:https://stackoverflow.com/questions/54096

相關問答

Asp.net

在 cookie 中加密會話 ID(或其他身份驗證值)是否有用?

  • April 9, 2022
檢視問答
Asp.net

登錄asp.net後如何更改會話ID

  • June 9, 2020
檢視問答
Asp.net

可以在機器之間複製 cookie 來冒充使用者嗎?

  • April 30, 2019
檢視問答
Asp.net

同步不同子域中的 cookie 和會話 (asp.net)

  • November 27, 2015
檢視問答
Asp.net

表單身份驗證是否適用於 Web 負載均衡器?

  • November 10, 2015
檢視問答
Asp.net

如何在 ASP.NET MVC 網站中為 cookie 設置“安全”標誌?

  • September 16, 2015
檢視問答