我想了解由于没有为 ARR 发送的 ARRAffinity cookie 设置 httponly 标志而导致的安全威胁。我需要设置 httponly 标志吗?如果不是为什么?
答案 0 :(得分:0)
ARRAffinity
cookie 不需要 HttpOnly
标志。我发现以下反馈是在 2016 年提出的。Azure 团队在 2017 年做出了回应。
Set ARRAffinity cookie with correct attributes - HTTPOnly & Secure
但现在,ARRAffinity
默认设置了 httponly
标志。我们不需要手动设置 httponly
。
ARRAffinity
和 ARRAffinitySameSite
都用于告诉 Azure 应该到达哪个 iis instance
。
希望以下文章能帮到您。
Securing the ARRAffinity Cookie
如果我们像下面的代码那样设置,在我们的浏览器中,我们无法获取 cookie,这是安全的。
HttpCookie myCookie = new HttpCookie("AUTH_COOKIE");
myCookie.Values.Add("userid", Guid.NewGuid().ToString());
myCookie.HttpOnly = true;
myCookie.Expires = DateTime.Now.AddHours(12);
Response.Cookies.Add(myCookie);