通过 HTTPS 保护 ASP.NET 中的会话 cookie

StackOverflow https://stackoverflow.com/questions/54096

读完后有点好奇 这 /。文章 劫持 HTTPS cookie。我查了一下,我偶然发现的一个很好的资源列出了一些保护 cookie 的方法 这里. 。我必须使用 adsutil,还是将在 web.config 的 httpCookies 部分中设置 requireSSL 除了所有其他之外还覆盖会话 cookie(覆盖这里)?我还应该考虑其他什么来进一步强化会话吗?

有帮助吗?

解决方案

https://www.isecpartners.com/media/12009/web-session-management.pdf

关于“Web 应用程序使用 Cookie 进行安全会话管理”的 19 页白皮书

它们涵盖了许多我以前从未在一个地方见过的所有安全问题。值得一读。

其他提示

用于控制这一点的 web.config 设置位于 System.Web 元素内部,如下所示:

<httpCookies httpOnlyCookies="true" requireSSL="true" />
许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top