如何添加到Azure會話Cookie HttpOnly和安全屬性

Question

在我的ASP.NET MVC 4應用程序中，我使用第三方服務。而且該服務的一個使用條款是將所有會話cookie添加到HttpOnly和Secure屬性中。

網站託管在Windows Azure上，適用於SSL。

我加入到根Web.config以下設置：

<httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/> 

<authentication mode="Forms"> 
    <forms loginUrl="~" timeout="2880" requireSSL="true" /> 
</authentication> 

所以現在我的應用程序會話cookie 「.ASPXAUTH」 具有的HttpOnly和安全屬性。

但Azure Balancer「WAWebSiteSID」和「ARRAffinity」cookie沒有這個屬性的主要問題。

你能幫我找到合適的解決方案，爲他們添加缺失的屬性嗎？

Answer 1

我不相信你可以修改安全和HttpOnly屬性，因爲cookies被添加到應用程序下游的響應中（即通過位於站點前的負載均衡設備）。

當然，實用的問題是「爲什麼」？不允許客戶端腳本或電話上的MitM訪問這些Cookie，您會獲得什麼好處？它們只不過是用於將客戶端綁定到站點實例的數據字節，並不包含任何個人特性，也沒有爲攻擊者提供任何可想象的好處（至少不是我能想到的）。

答案可能是「因爲它保持了安全掃描工具的快樂」，這可能會讓你感到溫暖和模糊，但它實際上並沒有改變站點的實際安全位置。

Answer 2

截至2017年6月24日，這種情況正在改變，ARRAffinity cookies將在未來使用HttpOnly標誌設置。 https://github.com/Azure/app-service-announcements/issues/12