DNN餅乾在所有門戶網站上都不安全

Question

我在DNN 8.00.04中有一個網站。 在這個站點內，我有5個門戶。

在主要門戶網站中，我的所有Cookie都是安全的，只有http。 但是在其他4個門戶網站上，他們不是。

我看了DNN的社區，但沒有發現任何相關的東西。 我怎樣才能確保他們都是安全的？

• 'tankpas_cookie_accept'是我在代碼中創建的cookie，設置爲secure和httpOnly。
• 對於ASP.NET_SessionId我用下面的文章來刷新ID： Generating a new ASP.NET session in the current HTTPContext

但是其他的餅乾是餅乾DNN至極，我不知道如何設置他們的安全。

我媒體鏈接試圖使門戶網站啓用SSL 通過：主機 - 網站管理 - （門戶） - 高級設置 - SSL設置

啓用SSL：檢查 SSL強制執行：檢查

- EDIT-- 改變webconfig從

<httpCookies httpOnlyCookies="true" requireSSL="false" domain="" /> 

到

<httpCookies httpOnlyCookies="true" requireSSL="true" domain="" /> 

但是，更改這使管理門戶不可用。

- 編輯2--當嘗試打開網站時，添加以下內容會給我一個505錯誤。

<rewrite> 
    <outboundRules> 
     <rule name="Add Strict-Transport-Security when HTTPS" enabled="true"> 
     <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" /> 
     <conditions> 
      <add input="{HTTPS}" pattern="on" ignoreCase="true" /> 
     </conditions> 
     <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" /> 
     </rule> 
    </outboundRules> 
</rewrite> 

cookies main portal

cookies second portal

THX

Answer 1

不知道這是否是你所需要的東西，但你可以使在web.config Strict Transport Security。

<system.webServer> 
    <rewrite> 
     <outboundRules> 
     <rule name="Add Strict-Transport-Security when HTTPS" enabled="true"> 
      <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" /> 
      <conditions> 
      <add input="{HTTPS}" pattern="on" ignoreCase="true" /> 
      </conditions> 
      <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" /> 
     </rule> 
     </outboundRules> 
    </rewrite> 
</system.webServer> 

而且使secure cookies

<system.web> 
    <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" /> 
</system.web>