我负责保护Kentico 11网站(11.0.47)。具体来说,我必须为.ASPXFORMSAUTH cookie设置安全标志。
阅读文档,我修改了web.config:
<forms loginUrl="CMSPages/logon.aspx"
defaultUrl="Default.aspx"
name=".ASPXFORMSAUTH"
timeout="60000"
slidingExpiration="true"
requireSSL="true" />
我还添加了:
<system.Web>
<httpCookies httpOnlyCookies="true" requireSSL="true">
</system.Web>
没有运气。我还尝试将 lockItem =“ true” 属性添加到httpCookies元素,但这破坏了Kentico Admin应用程序。某些Cookie受保护,但.ASPXFORMSAUTH不受保护。
答案 0 :(得分:0)
我们最近遇到了这个问题。
按照上述注释所述,将Application_EndRequest中的cookie设置为安全也无济于事。
唯一使我们能够将cookie设置为ssl的方法是更改web.config文件中的auth cookie的名称。这不应破坏任何其他现有功能。
类似的事情应该起作用:
<forms loginUrl="CMSPages/logon.aspx"
defaultUrl="Default.aspx"
name=".ASPXFORMSAUTHENTICATION"
timeout="60000"
slidingExpiration="true"
requireSSL="true" />
我们仍然不确定为什么会发生这种情况,但这确实可以解决问题。