Comment configurez-vous exactement httpOnlyCookies dans ASP.NET ?

StackOverflow https://stackoverflow.com/questions/33529

  •  09-06-2019
  •  | 
  •  

Question

Inspiré par cet article de CodingHorror, "Protection de vos cookies :Http uniquement"

Comment définir cette propriété ?Quelque part dans la configuration Web ?

Était-ce utile?

La solution

Si vous utilisez ASP.NET 2.0 ou version ultérieure, vous pouvez l'activer dans le fichier Web.config.Dans la section <system.web>, ajoutez la ligne suivante :

<httpCookies httpOnlyCookies="true"/>

Autres conseils

Avec les accessoires de Rick (deuxième commentaire dans le billet de blog mentionné), voici le Article MSDN sur httpOnlyCookies.

En fin de compte, vous ajoutez simplement la section suivante dans votre section system.web dans votre web.config :

<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />

Si vous voulez le faire en code, utilisez le System.Web.HttpCookie.HttpOnly propriété.

Ceci provient directement de la documentation MSDN :

// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false 
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);

Le faire dans le code vous permet de choisir de manière sélective quels cookies sont HttpOnly et lesquels ne le sont pas.

Il est intéressant de dire <httpCookies httpOnlyCookies="false"/> ne semble pas désactiver httpOnlyCookies dans ASP.NET 2.0.Consultez cet article sur Problèmes d'ID de session et de connexion avec ASP .NET 2.0.

On dirait que Microsoft a pris la décision de ne pas vous autoriser à le désactiver à partir du web.config.Vérifie ça publier sur forums.asp.net

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top