在我的ASP.NET MVC 4應用程序中,我使用第三方服務。而且該服務的一個使用條款是將所有會話cookie添加到HttpOnly和Secure屬性中。如何添加到Azure會話Cookie HttpOnly和安全屬性
網站託管在Windows Azure上,適用於SSL。
我加入到根Web.config以下設置:
<httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/>
<authentication mode="Forms">
<forms loginUrl="~" timeout="2880" requireSSL="true" />
</authentication>
所以現在我的應用程序會話cookie 「.ASPXAUTH」 具有的HttpOnly和安全屬性。
但Azure Balancer「WAWebSiteSID」和「ARRAffinity」cookie沒有這個屬性的主要問題。
你能幫我找到合適的解決方案,爲他們添加缺失的屬性嗎?
可能值得在https://asafaweb.com – Kildareflare
上添加一些註釋「但它實際上並沒有改變網站的實際安全位置。你能否詳細說明爲什麼不這樣做?我明白,但不是每個人都會。 – rolls
它使你看起來像潛在攻擊者的目標更少。 – nmit026