Hoe presies het jy instel httpOnlyCookies in ASP.NET?

Question

geïnspireer deur hierdie CodingHorror artikel, " Beskerm jou koekies: HttpOnly "

Hoe kan jy hierdie eiendom ingestel? Iewers in die web config?

Answer 1

As jy 'ASP.NET 2.0 of groter, kan jy dit op in die lêer Web.config. In die afdeling , voeg die volgende reël:

<httpCookies httpOnlyCookies="true"/>

Answer 2

Met stutte om Rick (tweede kommentaar in die genoemde blog post), hier is die MSDN artikel op httpOnlyCookies.

Bottom line is dat jy net byvoeg die volgende gedeelte in jou system.web artikel in jou Web.config:

<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />

Answer 3

As jy wil om dit te doen in kode, gebruik die System.Web.HttpCookie.HttpOnly eiendom.

Dit is direk uit die MSDN dokumente:

// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false 
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);

doen dit in kode kan jy selektief kies watter koekies HttpOnly is en wat nie.

Answer 4

Dit is interessant om <httpCookies httpOnlyCookies="false"/> lyk nie httpOnlyCookies in ASP.NET 2.0 afskakel. Bevestig hierdie artikel oor sessie-en Teken Probleme Met ASP NET 2.0 .

Dit lyk asof Microsoft het die besluit om nie toelaat dat jy dit uit die Web.config skakel. Bevestig hierdie post op forums.asp.net