安全Cookie问题:Cookie有时只是安全的

时间:2013-11-29 18:58:43

标签: asp.net security cookies

我正在尝试保护从我的ASP.NET应用程序返回的cookie。

我设置requireSSL =“true”我的web.config但看起来cookie有时只是安全的。我会在Firebug或Chrome开发工具中检查请求,并且有时候cookie会安全(看起来这通常是我第一次访问该页面,但随后访问它们并不安全)。

Chrome开发工具的屏幕截图:http://i.imgur.com/jII0KDI.png

有没有人知道为什么会这样?

感谢您的帮助!

Web.Config设置

<system.web>
    <httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>

2 个答案:

答案 0 :(得分:2)

它可能正常运作。

Chrome开发者工具仅在响应中显示标记为仅HTTP和安全的Cookie,而不是请求,因此您的设置可能正常运行。它似乎可能是Chrome开发工具中的一个错误,或者它只显示请求中提供的内容(事实上它们是安全的,或者仅在实际的HTTP请求中没有指示HTTP,只有值被发送到服务器)。无论哪种方式,我认为它应该在这些列中显示N/A,以表明它们不适用于HTTP请求。

要验证您的Cookie设置是否正确,您可以尝试Edit This Cookie扩展程序。这将指示每个Cookie是否已应用SecureHTTP Only属性。

答案 1 :(得分:0)

你能详细说明安全吗?如果设置了sslonly标志,那么所有的cookie将仅通过加密连接发送。但这并不妨碍你在调试器中看到