ASP MVC 3 cookie丢失了HttpOnly和Secure标志

Question

我将cookie设置为我的mvc应用程序的一部分：

var cookie = new HttpCookie(CookieName, encryptedData)
            {
                Path = FormsAuthentication.FormsCookiePath,
                Domain = CookieDomain,
                Expires = authenticationTicket.Expiration,
                HttpOnly = true,
                Secure = IsSecure // true
            };
            response.Cookies.Add(cookie);

现在，如果我调试，我发现它一切正常，没有问题，并且添加了，那也很好。但是由于某种原因，当它实际到达浏览器时，没有设置HttpOnly标志或安全标志。所以我有点困惑......

我已尝试在System.Web下的cookie web.config条目中设置HttpOnly和Secure标志：

<httpCookies httpOnlyCookies="true" requireSSL="true" />

现在，这是浏览器收到响应时的响应方式：

HTTP/1.1 200 OK
Cache-Control: private
Content-Type: application/json; charset=utf-8
Server: Microsoft-IIS/7.5
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
Access-Control-Max-Age: 10000
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type, x-requested-with, *
Access-Control-Allow-Origin: http://localhost:34567
X-AspNetMvc-Version: 3.0
X-AspNet-Version: 4.0.30319
Set-Cookie: myCookie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expires=Wed, 27-Feb-2013 19:15:24 GMT; path=/
Date: Wed, 27 Feb 2013 18:45:24 GMT
Content-Length: 2

我在这里错过了一些东西吗？或者有什么东西我没有设置到我应该的位置？我也在使用CORS，因为这个cookie是作为身份验证机制从Web服务器发出的。 SSL已启用，并且还通过https用于呼叫。即使我关闭安全cookie并使用http，也没有设置HTTPOnly标志，所以我很困惑。

===更新===

经过双重检查后，我误解了您，HttpOnly响应会在您第一次收到cookie时从服务器正确发送，但是，不过！当ajax调用然后将cookie发送到服务器时，它似乎没有添加httponly标志，这意味着被抛出的cookie不再是安全的。 cookie的安全部分不会在第一个响应中发送，但至少会为它添加更多的上下文。

Answer 1

试试这个，看起来像是一个类似的问题。 （How can I set the Secure flag on an ASP.NET Session Cookie?）

  

在<system.web>元素中，添加以下元素：

<httpCookies requireSSL="true" />

     

但是，如果<forms>块中有system.web\authentication元素，则会覆盖httpCookies中的设置，并将其设置为默认值。

     

在这种情况下，您还需要将requireSSL="true"属性添加到forms元素中。

     

所以你最终会得到：

<system.web>
  <authentication mode="Forms">
    <forms requireSSL="true">
        /* forms content */
    </forms>
  </authentication>
</system.web>

Answer 2

似乎这是所有正确的行为，我专门写了另一个关于httponly客户端cookie行为的问题，这导致另一个帖子......什么是兔子洞。

What should be the correct behaviour of browser when sending and receiving httponly cookie via ajax?

无论如何，这似乎表明服务器需要继续篡改cookie以添加HttpOnly行为。

我制作了一个自定义的httpmodule，它会检查有问题的cookie并将所需的行为重新应用到cookie中（基于web.config中的配置）