使ASP.NET cookie安全

时间:2016-02-25 01:36:22

标签: c# asp.net .net session-cookies

我有一个在SSL上运行的应用程序,我已经在System.Web下的web.config中添加了以下内容。

<httpCookies requireSSL="true" httpOnlyCookies="true" lockItem="true" />

但我仍然得到一个名为&#34; cookieSesssion1&#34;的一个不安全的cookie。它没有被标记为安全。

请告诉我,我可以将其标记为安全。

修改 除了Web.config指令之外,我在Global.asax文件中也有以下代码。

protected void Application_EndRequest(object sender, EventArgs e)
{
    if (Response.Cookies.Count > 0)
    {
        foreach (string s in Response.Cookies.AllKeys)
        {
            Response.Cookies[s].Secure = true;
        }
    }
}

以下是火箱调试的屏幕截图: enter image description here

我缺少什么,请帮助

1 个答案:

答案 0 :(得分:2)

名为的FortiWeb Web应用防火墙(WAF)会话cookie cookiesession1

对于来自客户端的第一个HTTP / HTTPS请求,FortiWeb会在HTTP标头的响应的Set-Cookie:字段中嵌入一个cookie。它被命名为cookiesession1。 (FortiWeb不会仅为会话使用源IP地址和时间戳:NAT可以隐藏多个客户端;时钟可以更改。)

http://help.fortinet.com/fweb/537/Content/FortiWeb/fortiweb-admin/http_sessions_security.htm

http://help.fortinet.com/fweb/536/Content/FortiWeb/fortiweb-admin/global_object_white_list.htm

相关问题
最新问题