在MVC中为ASPXAUTH Cookie提供安全标志

时间:2017-10-13 10:00:07

标签: c# asp.net asp.net-mvc asp.net-mvc-3 cookies

我们有一个使用ASP.NET MVC3开发的应用程序。渗透测试由IBM AppScan工具完成。

已报告问题,ASPXAUTH不安全。当我检查浏览器的开发人员工具时,有一些带有安全标志的cookie。但ASPXAUTH不是其中之一。

enter image description here

我已在Web.Config文件中包含以下代码行。 

<httpCookies requireSSL="true"/>

注意:我们没有使用表单身份验证进行登录。我们正在使用Signle Sign-On Mechanism。

将ASPXAUTH标记为安全的正确方法是什么?

2 个答案:

答案 0 :(得分:2)

在Global.asax.cs文件中添加以下代码。

mail($recipient_gifted,$subject_gifted,$msg_gifted,implode("\r\n",$mailheaders_gifted));

答案 1 :(得分:1)

这不适用于我,不使用表单身份验证,而是使用集中式登录。添加以下代码:

foreach (string sCookie in httpCookies.AllKeys)
{
    if (sCookie == FormsAuthentication.FormsCookieName || sCookie.ToLower() == "asp.net_sessionid")
    {
        httpCookies[sCookie].Secure = true;
    }                    
}
相关问题
最新问题