我觉得我可能正在使用ASPNET Core Razor网站和Cookie来射击自己,并希望获得一些建议。
在启动的ConfigureServices方法中,我设置了CookiePolicyOptions如下:
services.Configure<CookiePolicyOptions>(options =>
{
options.CheckConsentNeeded = context => true;
options.MinimumSameSitePolicy = SameSiteMode.Strict;
options.HttpOnly = Microsoft.AspNetCore.CookiePolicy.HttpOnlyPolicy.Always;
options.Secure = CookieSecurePolicy.Always;
});
我的想法是SameSiteMode.Strict,HttpOnly和Secure将是最安全和最安全的设置。该网站不使用任何外部身份验证,仅使用来自Microsoft的带支架身份标识和SQL Server中的单个帐户。
我无法获得 Accept (链接)来在_CookieConsentPartial中使用,因为它似乎从未写入Cookie。
我怀疑与HttpOnly设置有关吗?部分中的JavaScript无法编写服务器可以读取的cookie?
我在树上叫错了吗? cookie选项应如何设置为与实际一样安全,但允许cookie同意?