保护 Owin Cookie http 和 https

Question

在我们的网站上进行了渗透测试，我们被告知该网站没有安全的 cookie。这是在 Http 和 Https 上的。

我已经尝试了很多例子，但 cookie 仍然没有勾选安全。我不知道我哪里出错了。

这是我在网络配置中尝试过的：

Solution 1 
<httpCookies requireSSL="true"/>

Solution 2
<httpCookies httpOnlyCookies="true" requireSSL="true" />

Solution 3
<httpCookies requireSSL="true" lockItem="true"   />

Solution 4
    <authentication mode="Forms">
    <forms loginUrl="Layout_Simple.cshtml" cookieless="UseCookies"  requireSSL="true"   path="/Account/Login" />
    </authentication>

在尝试了这些解决方案中的每一个之后，cookies 仍然不安全

然后我尝试了 Global.asax.cs 文件中的代码。像这样运行网站时，cookies 仍然不安全

 protected void Application_EndRequest(object sender, EventArgs e)
    {
       if (Response.Cookies.Count > 0)
       {
          foreach (string s in Response.Cookies.AllKeys)
         {
           if (s == FormsAuthentication.FormsCookieName || s.ToLower() == "_requestverificationtoken" || s.ToLower() == ".aspnet.applicationcookie") || s.ToLower() == "asp.net_sessionid"
           {
              Response.Cookies[s].Secure = true;                            Response.Cookies[FormsAuthentication.FormsCookieName].Secure = true;
             Response.Cookies["ASP.NET_SessionId"].Secure = true;
                    }
                }
            }
        }

我还尝试在 Startup.Auth.cs 文件中添加以下行，但这导致网站不再登录。

 app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
         AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
         LoginPath = new Microsoft.Owin.PathString("/Account/Login"),
         CookieSecure = Microsoft.Owin.Security.Cookies.CookieSecureOption.Always

Answer 1

我的 ASP.Net Core 3.1 Web API 也遇到同样的问题。它未能通过 Checkmarx 扫描，并违反“HttpOnlyCookies”和“InsecureCookie”（尽管是一个没有 cookie 的 API）。我通过将其添加到ConfigureServices来修复它：

services.Configure<CookiePolicyOptions>(options =>
{
    options.HttpOnly = HttpOnlyPolicy.Always;
    options.Secure = CookieSecurePolicy.Always;
});