47
我已经将.ASPXAUTH cookie设置为仅用于https,但我不确定如何有效地对ASP.NET_SessionId执行相同操作。如何保护ASP.NET_SessionId cookie?
整个站点使用HTTPS,因此不需要cookie与http和https协同工作。
A
回答
37
这里是从blog article written by Anubhav Goyal采取的代码片段:
// this code will mark the forms authentication cookie and the
// session cookie as Secure.
if (Response.Cookies.Count > 0)
{
foreach (string s in Response.Cookies.AllKeys)
{
if (s == FormsAuthentication.FormsCookieName || s.ToLower() == "asp.net_sessionid")
{
Response.Cookies[s].Secure = true;
}
}
}
在Global.asax添加此到EndRequest事件处理程序应该做到这一点对所有页面调用。
注意:建议编辑在成功的“安全”分配内添加break;语句。我拒绝了这个编辑,因为它只允许其中一个cookie被强制保护,而第二个将被忽略。添加计数器或其他度量标准以确定两者在此时已被锁定并打破,这是不可想象的。然而,随着新的代码技术,这将可能是更好的写法如下:
Response.Cookies[FormsAuthentication.FormsCookieName]?.Secure = true;
Response.Cookies["asp.net_sessionid"]?.Secure = true;
+4
完美,谢谢。对于读者来说,这可能会让人觉得它看起来像一个狡猾的变通办法,就像我第一次看到它时那样,我还没有发现任何暗示有更好的选择的东西,这看起来工作得很好! – Pete 2011-05-13 08:58:15
+1
请注意,sessionState cookie名称可能不总是'ASP.NET_SessionId'。它可以被覆盖http://msdn.microsoft.com/en-us/library/h6bb9cz9.aspx – kenwarner 2011-06-09 03:04:53
+0
@qntmfred:你提供的链接不再可用。你能提供一些搜索提示,所以我可以找到原始的微软文章吗? – Matt 2014-10-06 10:48:56
-2
如果整个站点使用HTTPS,那么sessionId cookie至少与HTTPS加密一样安全。这是因为cookie是作为HTTP标头发送的,使用SSL时,HTTP标头在传输时使用SSL进行加密。
+11
记住尽管这如果用户将URL输入浏览器“www.securesite.com”,那么对该服务器的初始请求(包括任何cookie)将是不安全的;服务器大概会回应一个重定向到SSL站点,之后你是正确的。 – 2011-05-12 14:20:29
+2
这是有道理的,但不幸的是,我们客户使用的测试人员不会这样看待它:) – Pete 2011-05-13 08:58:10
+0
“HTTP头在传输时使用SSL进行加密”是否意味着该通道已加密或实际的Cookie内容是否已加密? – 2011-05-25 19:05:07
114
要将; secure后缀添加到Set-Cookie HTTP头我只是用在web.config中<httpCookies>元素:
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
<system.web>
恕我直言,比在Anubhav Goyal的文章中写代码更方便。
参见:http://msdn.microsoft.com/en-us/library/ms228262(v=vs.100).aspx
+2
http://msdn.microsoft.com/en-us/library/ms228262(v=vs.100).aspx(此MSDN主题目前不适用于.NET 4.5。) – 2012-11-07 20:59:23
+4
Marcel Hoyer,我试过了方法,但不知何故,它只是不起作用。 'asp.net_sessionid'仍然不是'secure'。您的方法是否适用于MVC Web应用程序? – Blaise 2013-05-15 18:42:01
+0
@Blaise,我没有尝试这个MVC的Web应用程序。还有其他人吗? – 2013-05-15 22:38:30
9
与马塞尔的解决方案上面,以确保窗体身份验证cookie,你也应该更新走出去“验证” config元素使用SSL
<authentication mode="Forms">
<forms ... requireSSL="true" />
</authentication>
其他明智的身份验证cookie不会是HTTPS
参见:http://msdn.microsoft.com/en-us/library/vstudio/1d3t3c61(v=vs.100).aspx
6
发现在Sess中设置安全属性ion_Start就足够了,正如MSDN博客“Securing Session ID: ASP/ASP.NET”中推荐的那样。
protected void Session_Start(Object sender, EventArgs e)
{
SessionStateSection sessionState =
(SessionStateSection)ConfigurationManager.GetSection("system.web/sessionState");
string sidCookieName = sessionState.CookieName;
if (Request.Cookies[sidCookieName] != null)
{
HttpCookie sidCookie = Response.Cookies[sidCookieName];
sidCookie.Value = Session.SessionID;
sidCookie.HttpOnly = true;
sidCookie.Secure = true;
sidCookie.Path = "/";
}
}
相关问题
- 1. 如何保护Cookie?
- 2. 配置ASP.net_sessionid cookie
- 3. 隐藏ASP.NET_SessionId Cookie
- 4. ASP.NET_SessionId cookie未定义
- 5. iOS和Chrome上的ASP.NET_SessionId cookie
- 6. 两个ASP.NET_SessionId cookie如何突然出现在Cookie列表中?
- 7. 保护cookie和session
- 8. 保护会话cookie
- 9. 如何保护经典的ASP ASPSESSIONID cookie?
- 10. 如何在android中保护cookie?
- 11. 修改和保护cookie
- 12. 可以保护cookie吗?
- 13. Selenium IDE,deleteAllVisibleCookies和ASP.NET_SessionId Cookie - 不工作
- 14. ASP.NET_SessionId的cookie行为的解释
- 15. IE在哪里存储ASP.NET_SessionId cookie?
- 16. 如何设置ASP.NET_SessionId cookie的到期日期?
- 17. 如何使用NSMutableURLRequest正确包含.ASPXAUTH和ASP.NET_SessionId cookie
- 18. 如何隐藏asp.net webform中的ASP.NET_SessionID cookie字符串?
- 19. 如何在自定义会员供应商中保存ASP.NET_SessionId
- 20. 需要requests.get一个cookie(ASP.NET_SessionID),然后requests.post,该cookie作为参数
- 21. 重命名ASP.NET_SessionId
- 22. ASP.NET_Sessionid正在更新
- 23. 禁用Cookie时处理CSRF保护
- 24. 使用cookie的CSRF令牌保护
- 25. 在PHP会话中保护cookie
- 26. WordPress受保护页面密码Cookie
- 27. 保护ASP.NET和SSL中的Cookie
- 28. PHP密码保护页面Cookie
- 29. 在ASP.NET中保护会话cookie
- 30. ASP.NET在HTTP和HTTPS上保护Cookie
【如何庆祝会话Cookie安全(http://anubhavg.wordpress.com/2008/02/05/how-to-mark-session-cookie-secure/) – Pankaj 2011-05-12 13:33:29