如何保护.ASPXAUTH令牌以便通过SSL发送。
答案 0 :(得分:11)
直接来自msdn docs:
防止捕获表单身份验证Cookie 在穿越网络时被篡改,确保您使用SSL 所有需要经过身份验证访问并限制表单的页面 通过设置
requireSSL="true"来验证SSL通道的票证<forms>元素。要将表单身份验证Cookie限制为
requireSSL="true"元素上设置<forms>的SSL通道,如下面的代码所示:
<forms loginUrl="Secure\Login.aspx" requireSSL="true" ... />通过设置
requireSSL="true",您可以设置安全cookie属性,以确定浏览器是否应将cookie发送回 服务器。设置安全属性后,cookie将由 浏览器仅限于使用HTTPS URL请求的安全页面。
注意:在使用requireSSL="true"时,只会针对通过SSL请求的网页发送身份验证Cookie。因此,如果您通过HTTP(非SSL)访问页面,则可能看起来您尚未登录。本文讨论了该问题,并提出了一个与SharePoint站点相关的解决方案(但该理论可以转让): Securing the authentication cookie for mixed SSL SharePoint sites