我们需要保护cookie .ASPXANONYMOUS

时间:2013-11-21 15:04:05

标签: asp.net security cookies

您能告诉我们是否需要保护cookie.ASPXANONYMOUS与否?

谢谢。

3 个答案:

答案 0 :(得分:3)

如果您确定匿名用户cookie只应保护为SSL,那么您可以使用anonymousIdentification元素在web.config中对其进行调整。

<anonymousIdentification  
   enabled="true"
   cookieRequireSSL="true"
/>
  

<强> cookieRequireSSL
  指定cookie在传输到客户端时是否需要安全套接字层(SSL)连接。由于ASP.NET设置了身份验证cookie属性Secure,因此除非正在使用SSL连接,否则客户端不会返回cookie。   默认值为 false

答案 1 :(得分:2)

这是一个Cookie,用于存储匿名用户的唯一ID,您可以使用该ID跟踪单个用户的数据。更多信息:http://msdn.microsoft.com/en-us/library/system.web.httprequest.anonymousid(v=vs.110).aspx

安全,您的意思是设置secure flag吗?

这取决于。如果您要为匿名用户存储敏感信息,并且您的站点在访问此信息的任何地方使用HTTPS,那么是的,这是一个好主意。通常,您只会为已识别的用户存储敏感信息,但我想匿名令牌有时可能包含攻击者可能想要检索的信息(例如,如果匿名购物篮有时包含凭证,那么攻击者劫持可能是值得的这些会议偷了他们。)

答案 2 :(得分:0)

@silverlightfox在这里的回答是,您是否存储匿名信息不再成立。这些天(主要浏览器开始警告所有未通过HTTPS提供服务的网站的用户),应该保护此Cookie和所有其他Cookie。