¿Cómo se configura exactamente httpOnlyCookies en ASP.NET?

StackOverflow https://stackoverflow.com/questions/33529

  •  09-06-2019
  •  | 
  •  

Pregunta

Inspirado en este artículo de CodingHorror, "Protegiendo sus cookies:Sólo Http"

¿Cómo se configura esta propiedad?¿En algún lugar de la configuración web?

¿Fue útil?

Solución

Si está utilizando ASP.NET 2.0 o superior, puede activarlo en el archivo Web.config.En la sección <system.web>, agregue la siguiente línea:

<httpCookies httpOnlyCookies="true"/>

Otros consejos

Felicitaciones a Rick (segundo comentario mencionado en la publicación del blog), aquí está el artículo de MSDN en httpOnlyCookies.

La conclusión es que simplemente agrega la siguiente sección en su sección system.web en su web.config:

<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />

Si quieres hacerlo en código, usa el Sistema.Web.HttpCookie.HttpOnly propiedad.

Esto es directamente de los documentos de MSDN:

// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false 
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);

Hacerlo en código le permite elegir selectivamente qué cookies son HttpOnly y cuáles no.

Curiosamente poniendo <httpCookies httpOnlyCookies="false"/> no parece desactivarse httpOnlyCookies en ASP.NET 2.0.Consulta este artículo sobre Problemas de ID de sesión y de inicio de sesión con ASP .NET 2.0.

Parece que Microsoft tomó la decisión de no permitirle desactivarlo desde web.config.Mira esto publicar en foros.asp.net

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top