Ale*_*ski 12 authentication cookies https
我发现了一个奇怪的问题,并且不知道需要应用什么解决方法。
最简单的安全改进之一是将所有 cookie 设置为 HttpOnly 和 Secure。我知道如果您在非安全模式下(即方案是 HTTP)打开一个带有安全 cookie 的网站,那么该 cookie 将被忽略。但我们的情况如下。
假设有一个 URL 可以让您登录:contoso.com/AutoLogin/
如果我在 HTTPS 模式下打开它,则设置 AUTH cookie 并且它是安全的:
GET https://contoso.com/AutoLogin/<user token>
Response: Set-Cookie: .ASPXAUTH=<cookie is here>; expires=Fri, 11-Oct-2019 14:51:40 GMT; path=/; secure; HttpOnly
那绝对没问题。我可以在开发工具中看到 cookie。现在,相同的浏览器会话,我试图打开相同的 URL,但在 HTTP 模式下。请求 Cookie 不再具有 AUTH cookie - 由于安全 cookie 的性质,这一点很清楚并且可以预测。
GET http://contoso.com/AutoLogin/<user token>
Response: .ASPXAUTH=<here comes the cookie>; expires=Fri, 11-Oct-2019 14:54:07 GMT; path=/; HttpOnly
但是,cookie 未设置,所有后续请求都没有 AUTH cookie。至少在 Chrome 和 Firefox 中确认了该行为(未在其他浏览器中检查)。
正如您可能注意到的那样,后端是使用 ASP.NET MVC 实现的。也许,GET 请求是 AJAX 请求这一事实可能会有所帮助。
谢谢你的帮助。
小智 11
我找到了关于这个问题的完美文章。简而言之:
当网站通过 http(端口 80)和 https(端口 443)提供请求并且具有 https cookie 的安全标志时,就会发生这种情况。
如果用户首先访问 https,站点会设置安全 cookie。然后,对于任何非安全脚本的请求,服务器不会收到会话 cookie,因为请求是通过非 https 连接传输的。如果端点具有会话机制,它将启动新会话,该会话通过标头发送但未存储在浏览器中(因为浏览器已经拥有此名称的 cookie - 它只是不发送它)
不同浏览器行为的作者状态 - 有些浏览器允许通过不安全的 cookie 覆盖安全的 cookie,有些则不允许。
Chrome 71 和 Firefox 64 都可以防止在普通 http 上覆盖安全 cookie。我测试了 Edge 42,但它的工作方式不同,它会用非安全 cookie 覆盖安全 cookie。Safari 12 的工作方式类似于 Edge。
我想唯一的解决方案是仅以一种所需的方式使用网站 - 安全与否。
| 归档时间: |
|
| 查看次数: |
5131 次 |
| 最近记录: |