在ASP.NET应用程序中,我可以用这种方式设置安全标志:httpCookies requireSSL =" true"
现在想象一下我的应用程序面向外部,管理控制台面向组织内部。如果由于某种原因我们不能或不想在内部使用SSL,有没有办法设置"安全"外部应用程序的标志,而不是为内部管理页面设置?
答案 0 :(得分:2)
httpCookies标记确实具有域属性。
<httpCookies domain="String"
httpOnlyCookies="true|false"
requireSSL="true|false" />
因此,理论上你可以拥有2个具有2个不同域的应用程序,一个用于面向公众,需要具有外部页面的requireSSL =“true”,另一个用于具有requireSSL =“false”的管理页面。
但是,如果您已经为外部用户获取SSL证书,那么您是否也不能为内部用户使用相同的证书?如果以明文形式发送cookie,则使用SSL是最佳做法,即使内部网络流量为session hijacking is very easy。