我在ASP.NET中使用formsAuthentication时看到的指导是通过requireSSL属性使用SSL。
我的印象是cookie的内容是加密的。所以我试图理解为什么还需要SSL?
答案 0 :(得分:0)
这不是问题的cookie,而是发送用户名和密码。使用SSL将阻止该交易被拦截(并且如果用户需要费心检查证书 grin ,则会提供一些保证措施)
答案 1 :(得分:0)
我有同样的问题!
我对@ blowdart对您登录时没有敏感信息的网站的答案感到满意。 绝对肯定你应该通过SSL登录 - 但是如果有人访问你的cookie,他们可以冒充你直到它过期。
http://msdn.microsoft.com/en-us/library/ms998310.aspx
防止捕获表单身份验证Cookie 在穿越时被篡改 网络,确保您使用SSL 所有需要验证的页面 访问和限制表单 SSL通道的身份验证票证 通过在上面设置requireSSL =“true” 元件。
将表单身份验证Cookie限制为SSL通道
在元素上设置requireSSL =“true”,如下所示 以下代码。
通过设置requireSSL =“true”,您可以设置安全cookie属性 确定浏览器是否应该 将cookie发送回服务器。 随着安全属性设置, cookie仅由浏览器发送给 使用请求的安全页面 一个HTTPS URL。
注意:如果您使用的是无Cookie会话,则必须确保 身份验证票从不 通过无担保的传输 信道。