在阅读this /. article劫持HTTPS Cookie后,我有点好奇。我跟踪了一下,我偶然发现了一个很好的资源,列出了几种保护cookie here的方法。我必须使用adsutil,还是在web.config封面会话cookie的httpCookies部分设置requireSSL以及其他所有cookie(covered here)?还有什么我应该考虑进一步强化会议吗?
答案 0 :(得分:11)
https://www.isecpartners.com/media/12009/web-session-management.pdf
一篇19页的白皮书“用于Web应用程序的Cookie安全会话管理”
它们涵盖了许多我以前从未见过的安全问题。值得一读。
答案 1 :(得分:11)
用于控制它的web.config设置进入System.Web元素,如下所示:
<httpCookies httpOnlyCookies="true" requireSSL="true" />