我有一个使用ADFS进行身份验证过程的Web应用程序。在为应用程序实现CSRF时,我遇到了url:http://www.asp.net/mvc/overview/security/xsrfcsrf-prevention-in-aspnet-mvc-and-web-pages,它说设置requiressl = true是一种很好的预防措施。
目前,该应用程序在web.config中具有以下内容:
<microsoft.identityModel>
<federatedAuthentication>
<cookieHandler requireSsl="false" />
</federatedAuthentication>
根据上面提到的文章,我设置了requireSsl = true。
任何人都可以帮助我知道在此设置下loadbalacer或F5级别是否有任何影响或任何已知问题?
答案 0 :(得分:0)
在网站级别设置SSL设置,并使用Ignore选中RequireSSL作为选项帮助我解决问题。