我们正在开发一个系统(MVC3),其中只有/ admin通过https,允许匿名用户通过http执行任务。
我们已聘请第三方对我们的网站进行安全评估,他们的反馈之一是“未设置安全标记.ASPXAUTH,Cookie将以明文形式传输”,并建议包括
<httpCookies requireSSL="true" />
在我们的网络配置中。
进一步的研究表明
<authentication mode="Forms">
<forms requireSSL="true">
也需要与此一起设置,因为我们使用表单身份验证
参考:How can I set the Secure flag on an ASP.NET Session Cookie?
我们的问题是,系统仍然为匿名用户使用.ASPXAUTH cookie(为了通过表单向导自动填充值),这是通过HTTP 因此,只要将上述设置应用于主web.config,HTTP post方法就会使用户返回主页。我认为这是由于连接不是HTTP
请您详细说明情况?是否有任何工作要告诉应用程序允许.ASPXAUTH cookie通过HTTP发送到系统的客户端(匿名)区域,以及管理员用户何时通过HTTPS登录发送.ASPXAUTH cookie?
我尽力解释这种情况,但随时可以询问您是否需要进一步的信息。