那些遇到过的问题

通过HTTPS在ASP.NET中保护会话cookie

Chr*_*ris 14 asp.net security cookies session

读完这篇/后,我有点好奇.关于劫持HTTPS cookie的文章.我跟踪下来了一点,和一个很好的资源我偶然发现列出了几种方法,以确保饼干在这里.我必须使用adsutil,还是在web.config封面会话cookie的httpCookies部分设置requireSSL以及其他所有内容(此处介绍)?还有什么我应该考虑进一步强化会议吗?

Aar*_*ner 11

https://www.isecpartners.com/media/12009/web-session-management.pdf

一篇19页的白皮书"用于Web应用程序的Cookie安全会话管理"

它们涵盖了许多我之前从未见过的安全问题.值得一读.

  • 好读.有一点需要注意,他们对如何设置cookie域的总结对于大多数浏览器实现来说并不准确.RFC规定,对于example.com或example.com的任何子域的请求,应重新传输具有域".example.com"的cookie.空白域(变为"example.com")将仅重新传输到example.com域.实际上,无论领先时期如何,浏览器都会将cookie从域重新传输到所有子域.因此在实践中将域留空不提供任何安全优势. (2认同)

Bra*_*ton 11

用于控制它的web.config设置进入System.Web元素,如下所示:

<httpCookies httpOnlyCookies="true" requireSSL="true" />
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

13262 次

最近记录:

12 年 前
相关归档
WebAPI控制器上未找到任何操作 53
SignalR .Net客户端:如何向组发送消息? 20
获取客户端隐藏字段的值 19
asp:LinkBut​​ton的内部图像和文本在回发后消失 13
可以访问会话状态的Global.asax事件 10
Mojolicious会话不会过期 6
j_security_check和JAAS 4
encodeForHTMLAttribute 与encodeForJavaScript 4
"新密码无效"时WebSecurity.ChangePassword何时失败? 3
Spring MVC3 @SessionAttributes和@ModelAttribute将自动从请求中获取值 3
难疑归档
Reference — What does this symbol mean in PHP? 4314
你如何创建一个远程Git分支? 3030
如何使用Maven创建具有依赖关系的可执行JAR? 2276
如何使用JavaScript漂亮地打印JSON? 2222
将字符串转换为datetime 2035
2048游戏的最佳算法是什么? 1893
如何计算列表项的出现次数? 1417
从Docker容器内部,如何连接到本机的本地主机? 1176
命名类 - 如何避免将所有内容称为"<WhatEver> Manager"? 1147
NP,NP-Complete和NP-Hard有什么区别? 1064