我正在尝试保护从我的ASP.NET应用程序返回的cookie。
我设置requireSSL =“true”我的web.config但看起来cookie有时只是安全的。我会在Firebug或Chrome开发工具中检查请求,并且有时候cookie会安全(看起来这通常是我第一次访问该页面,但随后访问它们并不安全)。
Chrome开发工具的屏幕截图:http://i.imgur.com/jII0KDI.png
有没有人知道为什么会这样?
感谢您的帮助!
Web.Config设置
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>
答案 0 :(得分:2)
它可能正常运作。
Chrome开发者工具仅在响应中显示标记为仅HTTP和安全的Cookie,而不是请求,因此您的设置可能正常运行。它似乎可能是Chrome开发工具中的一个错误,或者它只显示请求中提供的内容(事实上它们是安全的,或者仅在实际的HTTP请求中没有指示HTTP,只有值被发送到服务器)。无论哪种方式,我认为它应该在这些列中显示N/A
,以表明它们不适用于HTTP请求。
要验证您的Cookie设置是否正确,您可以尝试Edit This Cookie扩展程序。这将指示每个Cookie是否已应用Secure
或HTTP Only
属性。
答案 1 :(得分:0)