MVC中ASPXAUTH Cookie的安全標誌

Question

我們有一個使用ASP.NET MVC3開發的應用程序。滲透測試由IBM AppScan工具完成。

問題已被報告，它是ASPXAUTH不安全。當我檢查瀏覽器的開發者工具時，有一些帶有安全標誌的cookie。但ASPXAUTH不是其中之一。

已經我已經包含在以下Web.config文件的代碼行。

<httpCookies requireSSL="true"/> 

注：我們不使用窗體身份驗證登錄。我們正在使用Signle Sign-On機制。

將ASPXAUTH標記爲安全的正確方法是什麼？

Answer 1

在Global.asax.cs文件中添加以下代碼。

protected void Application_EndRequest(object sender, EventArgs e) 
     { 

       if (Response.Cookies.Count > 0) 
       { 
        foreach (string s in Response.Cookies.AllKeys) 
        { 
         Response.Cookies[s].Secure = true; 
        } 
       } 
      } 
     }