Wie genau tun Sie konfigurieren httpOnlyCookies in ASP.NET?

StackOverflow https://stackoverflow.com/questions/33529

  •  09-06-2019
  •  | 
  •  

Frage

Inspiriert von diesem CodingHorror Artikel "Der Schutz Ihrer Cookies:HttpOnly"

Wie legen Sie diese Eigenschaft?Irgendwo in der web-config?

War es hilfreich?

Lösung

Wenn Sie ASP.NET 2.0 oder höher, Sie können drehen es auf in die Web.config-Datei.In der <system.web> Abschnitt, fügen Sie die folgende Zeile:

<httpCookies httpOnlyCookies="true"/>

Andere Tipps

Mit Dank an Rick (zweite Kommentar unten im blog-post erwähnt), hier ist die MSDN-Artikel auf httpOnlyCookies.

Bottom line ist, dass Sie nur den folgenden Abschnitt in Ihrem system.web-Abschnitt in Ihrem web.config:

<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />

Wenn Sie wollen zu tun, es in code, verwenden Sie die System.Web.HttpCookie.HttpOnly Eigenschaft.

Dies ist direkt aus der MSDN-Dokumentation:

// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false 
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);

Tun Sie es im code können Sie selektiv auswählen, welche cookies HttpOnly-und welche nicht.

Interessanterweise setzen <httpCookies httpOnlyCookies="false"/> scheint nicht zu deaktivieren httpOnlyCookies in ASP.NET 2.0.Überprüfen Sie diesen Artikel über Sitzungs-id und Login-Probleme Mit ASP .NET 2.0.

Sieht aus wie Microsoft hat die Entscheidung getroffen, können Sie Sie nicht deaktivieren Sie es aus dem web.config.Überprüfen Sie dies post auf forums.asp.net

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top