DNN饼干在所有门户网站上都不安全

Question

我在DNN 8.00.04中有一个网站。 在这个站点内，我有5个门户。

在主要门户网站中，我的所有Cookie都是安全的，只有http。 但是在其他4个门户网站上，他们不是。

我看了DNN的社区，但没有发现任何相关的东西。 我怎样才能确保他们都是安全的？

• 'tankpas_cookie_accept'是我在代码中创建的cookie，设置为secure和httpOnly。
• 对于ASP.NET_SessionId我用下面的文章来刷新ID： Generating a new ASP.NET session in the current HTTPContext

但是其他的饼干是饼干DNN至极，我不知道如何设置他们的安全。

我媒体链接试图使门户网站启用SSL 通过：主机 - 网站管理 - （门户） - 高级设置 - SSL设置

启用SSL：检查 SSL强制执行：检查

- EDIT-- 改变webconfig从

<httpCookies httpOnlyCookies="true" requireSSL="false" domain="" /> 

到

<httpCookies httpOnlyCookies="true" requireSSL="true" domain="" /> 

但是，更改这使管理门户不可用。

- 编辑2--当尝试打开网站时，添加以下内容会给我一个505错误。

<rewrite> 
    <outboundRules> 
     <rule name="Add Strict-Transport-Security when HTTPS" enabled="true"> 
     <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" /> 
     <conditions> 
      <add input="{HTTPS}" pattern="on" ignoreCase="true" /> 
     </conditions> 
     <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" /> 
     </rule> 
    </outboundRules> 
</rewrite> 

cookies main portal

cookies second portal

THX

Answer 1

不知道这是否是你所需要的东西，但你可以使在web.config Strict Transport Security。

<system.webServer> 
    <rewrite> 
     <outboundRules> 
     <rule name="Add Strict-Transport-Security when HTTPS" enabled="true"> 
      <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" /> 
      <conditions> 
      <add input="{HTTPS}" pattern="on" ignoreCase="true" /> 
      </conditions> 
      <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" /> 
     </rule> 
     </outboundRules> 
    </rewrite> 
</system.webServer> 

而且使secure cookies

<system.web> 
    <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" /> 
</system.web>