您能告诉我们是否需要保护cookie.ASPXANONYMOUS与否?
谢谢。
答案 0 :(得分:3)
如果您确定匿名用户cookie只应保护为SSL,那么您可以使用anonymousIdentification元素在web.config中对其进行调整。
<anonymousIdentification
enabled="true"
cookieRequireSSL="true"
/>
<强> cookieRequireSSL 强>
指定cookie在传输到客户端时是否需要安全套接字层(SSL)连接。由于ASP.NET设置了身份验证cookie属性Secure,因此除非正在使用SSL连接,否则客户端不会返回cookie。 默认值为 false 。
答案 1 :(得分:2)
这是一个Cookie,用于存储匿名用户的唯一ID,您可以使用该ID跟踪单个用户的数据。更多信息:http://msdn.microsoft.com/en-us/library/system.web.httprequest.anonymousid(v=vs.110).aspx
安全,您的意思是设置secure flag吗?
这取决于。如果您要为匿名用户存储敏感信息,并且您的站点在访问此信息的任何地方使用HTTPS,那么是的,这是一个好主意。通常,您只会为已识别的用户存储敏感信息,但我想匿名令牌有时可能包含攻击者可能想要检索的信息(例如,如果匿名购物篮有时包含凭证,那么攻击者劫持可能是值得的这些会议偷了他们。)
答案 2 :(得分:0)
@silverlightfox在这里的回答是,您是否存储匿名信息不再成立。这些天(主要浏览器开始警告所有未通过HTTPS提供服务的网站的用户),应该保护此Cookie和所有其他Cookie。