В моем веб-проекте setting to turn on httpOnlyCookies нет. По умолчанию это неверно. Также нет места в коде, где cookie устанавливается на HttpOnly. Однако, когда я просматриваю сайт, я вижу, что cookie ASP.NET_Session передается как HttpOnly. Как он настроен на HttpOnly?Как установить HttpOnly для ASP.NET_SessionId cookie?
6
A
ответ
14
Файлы cookie ASP.NET для сеансов cookie - это только HTTP, независимо от установки httpOnlyCookies
, связанной с вашим вопросом, поскольку это сжигается в ASP.NET. Вы не можете переопределить это.
Если покопаться в System.Web.SessionState.SessionIDManager
класса в сборке System.Web код для создания ASP.NET куки сессии выглядит так:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName, id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
1
Это HttpOnly поэтому ваш куки сессии не могут быть изменены клиентом с JavaScript.
+0
Правильно. Я знал эту часть. Я перефразировал свой вопрос от «почему» до «как он установлен?». –
Смежные вопросы
- 1. Сделать ASP.NET_SessionId cookie не httpOnly
- 2. HttpOnly cookie - невозможно установить
- 3. Установить HttpOnly для классических ASP-файлов cookie
- 4. Как установить HttpOnly cookie в Django?
- 5. Как установить дату истечения срока действия для cookie ASP.NET_SessionId?
- 6. ASP.NET_SessionId cookie undefined
- 7. Конфигурировать ASP.net_sessionid cookie
- 8. Как получить HttpOnly cookie
- 9. Django CSRF cookie HttpOnly
- 10. IPCZQ cookie httpOnly
- 11. Установить Cookie httpOnly на false В Grails.
- 12. Как установить для параметра HttpOnly cookie сеанса значение false?
- 13. Как установить httponly и session cookie для веб-приложения java
- 14. Невозможно установить файлы cookie и свойства HttpOnly
- 15. Где IE хранит cookie ASP.NET_SessionId?
- 16. C# Получить httponly cookie
- 17. Настройка HTTPONLY для классического Asp Session Cookie
- 18. Редактировать Cookie HttpOnly value
- 19. Как удалить файлы cookie HttpOnly?
- 20. yii cookie set httpOnly
- 21. Файлы PDFReactor cookie HttpOnly?
- 22. pyramid_beaker httponly и secure cookie
- 23. Установить/обновить срок действия на aspxauth и cookie asp.net_sessionid
- 24. Как настроить cookie HttpOnly в PHP
- 25. Cookie share with subdomain nodejs httponly cookie
- 26. Нужно запрашивать cookie (ASP.NET_SessionID), а затем request.post, cookie как параметр
- 27. Как два файла cookie ASP.NET_SessionId неожиданно появляются в списке Cookie?
- 28. Как установить HTTPONLY в файл cookie, сгенерированный модулем webapp2 auth?
- 29. Как установить HttpOnly в cookie сеанса в Rails 2.1?
- 30. Обмен рисками безопасности cookie ASP.NET_SessionId и .ASPXAUTH
найдена документация здесь: http://msdn.microsoft.com/en-us/library/aa480476.aspx "HttpOnly. Это свойство указывает, можно ли получить доступ к cookie клиентским скриптом. В ASP.NET 2.0 это значение всегда установлено в true. » –
@dev - я просто вникнул в сборку System.Web.dll, чтобы заглянуть :) – Kev
Также важна часть прямо под ней. Старые браузеры не поддерживают HttpOnly и могут игнорировать файл cookie или игнорировать атрибут, последний по-прежнему оставляет ваш сайт открытым для атак XSS. –