Как именно вы настраиваете httpOnlyCookies в ASP.NET?

Question

Вдохновленный этой статьей CodingHorror, " Защита ваших файлов cookie: HttpOnly <> Quot;

Как установить это свойство? Где-нибудь в веб-конфиге?

Answer 1

Если вы используете ASP.NET 2.0 или выше, вы можете включить его в файле Web.config. В & Lt; system.web & Gt; раздел, добавьте следующую строку:

<httpCookies httpOnlyCookies="true"/>

Answer 2

С опорой на Рика (второй комментарий ниже в упомянутом сообщении в блоге) вот статья MSDN о httpOnlyCookies.

Суть в том, что вы просто добавляете следующий раздел в раздел system.web в файле web.config:

<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />

Answer 3

Если вы хотите сделать это в коде, используйте Свойство System.Web.HttpCookie.HttpOnly .

Это прямо из документов MSDN:

// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false 
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);

Выполнение этого в коде позволяет выборочно выбирать, какие файлы cookie являются HttpOnly, а какие нет.

Answer 4

Интересно, что добавление <httpCookies httpOnlyCookies="false"/> не отключает httpOnlyCookies в ASP.NET 2.0. Проверьте эту статью о SessionID и проблемы со входом в ASP .NET 2.0 .

Похоже, Microsoft приняла решение не разрешать вам отключать его из web.config. Проверьте этот пост на forums.asp.net