In meinem Web-Projekt setting to turn on httpOnlyCookies ist nicht da. Es ist standardmäßig falsch. Es gibt auch keinen Platz im Code, wo Cookie auf HttpOnly gesetzt wird. Wenn ich jedoch zur Site blicke, kann ich sehen, dass ASP.NET_Session-Cookie als HttpOnly übergeben wird. Wie ist es auf HttpOnly festgelegt?Wie wird HttpOnly für ASP.NET_SessionId Cookie gesetzt?
6
A
Antwort
14
ASP.NET-Sitzungscookies sind nur HTTP, unabhängig von der in Ihrer Frage verknüpften Einstellung httpOnlyCookies
, da diese in ASP.NET gebrannt wird. Sie können dies nicht überschreiben.
Wenn Sie in die System.Web.SessionState.SessionIDManager
Klasse in der der Code System.Web Baugruppe graben, um den ASP.NET Session-Cookie sieht für das Erstellen wie:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName, id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
1
Es ist Httponly so Ihre Session-Cookie vom Client nicht geändert werden kann mit JavaScript.
+0
Korrigieren. Ich kannte diesen Teil. Ich formulierte meine Frage von "Warum" zu "Wie ist es eingestellt?" –
Verwandte Themen
- 1. PHP Cookie wird nicht gesetzt
- 2. Warum "ASP.NET_SessionId" nicht wiederverwenden?
- 3. Netsparketer Tool zeigt Cookie ist nicht markiert als HttpOnly
- 4. Cookie wird für www.example.com anstelle von example.com gesetzt
- 5. Cookie-Verfallsdatum nicht gesetzt
- 6. Einstellung Httponly in JSESSIONID Cookie (Java EE 5)
- 7. JQuery Cookie Erweiterung wird ein Cookie mit einem Pfad gesetzt wird aber nicht gelesen es
- 8. jQuery Redirects und HttpOnly Cookies
- 9. Httponly Session-Cookie + Servlet 3.0 (zum Beispiel Glassfish v3)
- 10. ASPXAUTH Cookie wird nicht gespeichert werden
- 11. Wie setzt man httpOnly Flag in ngCookies?
- 12. Laravel REST API gesetzt Cookie zu AngularJS Anwendung
- 13. Warum wird mein Cookie nicht gelöscht/nicht gesetzt?
- 14. Wie lange sollte der Cookie gültig sein, welcher Ablauf für das Cookie gesetzt werden soll
- 15. Wie können zwei ASP.NET_SessionId-Cookies plötzlich in der Cookie-Liste angezeigt werden?
- 16. VSCode - wie Arbeitsverzeichnis für Debug gesetzt wird
- 17. Gehe zu Seite, wenn Cookie gesetzt ist?
- 18. Wie bekomme ich httpOnly Cookies von android.webkit.CookieManager
- 19. Android Cookie setCookie nicht gesetzt etwas
- 20. ein Httponly-Cookies mit javax.servlet 2.5
- 21. Xdebug gesetzt Cookie XDEBUG_SESSION zu viele Male
- 22. MVC3 Output VaryByHeader = Cookie nicht gesetzt ist
- 23. localhost Cookies nicht gesetzt
- 24. Gibt es eine Möglichkeit, einen HttpOnly-Cookie aus C# Selenium-Tests zu löschen?
- 25. ASP MVC 3 Cookies verlieren Httponly und sichere Flaggen
- 26. HTTPOnly-Cookies auf Windows Phone speichern
- 27. wie Ablaufdatum auf einem Cookie in cfscript gesetzt
- 28. wie Domain für angularJS $ Cookies gesetzt
- 29. Erzwingen von HttpOnly-Cookies mit JRun/ColdFusion
- 30. Set-Cookie-Header nicht setzen Cookie in Chrome
gefunden Dokumentation hier: http://msdn.microsoft.com/en-us/library/aa480476.aspx "HttpOnly. Diese Eigenschaft gibt an, ob auf das Cookie von Clientskript zugegriffen werden kann. In ASP.NET 2.0, dieser Wert wird immer auf "True" gesetzt. " –
@dev - Ich habe gerade in die System.Web.dll-Baugruppe gegraben, um einen Blick darauf zu werfen :) – Kev
Der Teil direkt darunter ist ebenfalls wichtig. Ältere Browser unterstützen HttpOnly nicht und können entweder das Cookie ignorieren oder das Attribut ignorieren. Letzteres lässt Ihre Website dennoch für XSS-Angriffe offen. –