Question

我有一个DNN 8.00.04的网站。在这个网站中我有5个门户网站。

在主门户网站中，我的所有Cookie都是安全的，仅限http。但在其他4个门户网站上，他们不是。

我看过DNN的社区，但没有发现任何相关内容。我怎样才能确保它们都安全？

'tankpas_cookie_accept'是我在代码中创建的cookie，设置为secure和httpOnly。
对于ASP.NET_SessionId，我使用以下文章刷新了id： Generating a new ASP.NET session in the current HTTPContext

但其他cookie是DNN cookies，我不知道如何设置它们。

我已经尝试启用门户网站ssl了通过：主机 - 站点管理 - （门户网站） - 高级设置 - SSL设置

启用SSL：已选中 SSL强制执行：已选中

- EDIT-- 从

更改webconfig

<httpCookies httpOnlyCookies="true" requireSSL="false" domain="" />

到

<httpCookies httpOnlyCookies="true" requireSSL="true" domain="" />

然而，更改此选项会导致管理员门户不可用。

- 编辑2-- 尝试打开网站时，添加以下内容会出现505错误。

<rewrite>
   <outboundRules>
      <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
         <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
         <conditions>
            <add input="{HTTPS}" pattern="on" ignoreCase="true" />
         </conditions>
         <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />
      </rule>
   </outboundRules>
</rewrite>

cookies main portal

cookies second portal

Thx

Answer 1

不确定这是否正是您所需要的，但您可以在Web.Config中启用Strict Transport Security。

<system.webServer>
    <rewrite>
      <outboundRules>
        <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
          <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
          <conditions>
            <add input="{HTTPS}" pattern="on" ignoreCase="true" />
          </conditions>
          <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />
        </rule>
      </outboundRules>
    </rewrite>
</system.webServer>

启用secure cookies

<system.web>
  <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" />
</system.web>

DNN cookie在所有门户网站上都不安全

1 个答案: