我对这个设置实际上做了什么很困惑。
根据MSDN,“获取或设置一个值,指示是否启用了对浏览器的HttpOnly cookie的支持。”
但我很难理解这实际意味着什么。
我遇到的问题是,在我的MVC应用程序中,会话cookie没有使用安全标志发送。我已将RequireSSL="True"属性放在Web配置的两个表单和Cookie部分中,但会话ID cookie仍未在SSL下发送。我想知道这个其他属性是否与它有关。
答案 0 :(得分:0)
如果您已实施requireSSL="true",则您的Cookie只能通过HTTPS协议传输。这不应该是必需的。 HttpOnly标志告诉浏览器cookie只应由服务器访问 - 而不是任何客户端脚本。这可以防止现代浏览器中的某些XSS攻击出现这种情况(此时应该几乎都是这样)。