当我们将cookie HttpOnly属性设置为true时,服务器是否通过https限制cookie,还是允许通过http和https进行连接?
答案 0 :(得分:1)
它允许两者。 HttpOnly确定是否可以通过客户端脚本访问cookie。这与SSL无关。来自MSDN:
将HttpOnly属性设置为true不会阻止攻击者 访问网络通道直接访问cookie。 考虑使用安全套接字层(SSL)来帮助防范 此
您可以使用web.config中的requireSSL="true"条目保护authentication cookies。您还可以使用Secure property 来保护单个Cookie。