任何人都可以告诉我如何让ServiceStack在会话cookie上使用安全属性,以便cookie仅在基于https的请求上发送。这对于帮助防止会话劫持非常重要。到目前为止,我的测试表明,如果在https网站上完成ServiceStack身份验证,它仍会将cookie设置为不安全,这意味着如果站点中有任何http请求,则可以捕获cookie。
是否有设置或配置来更改此内容?
答案 0 :(得分:2)
您可以使用Config.OnlySendSessionCookiesSecurely
选项告诉ServiceStack在HTTPS请求中为SessionId添加安全cookie:
SetConfig(new HostConfig {
OnlySendSessionCookiesSecurely = true
});