In meinem Web-Projekt setting to turn on httpOnlyCookies ist nicht da. Es ist standardmäßig falsch. Es gibt auch keinen Platz im Code, wo Cookie auf HttpOnly gesetzt wird. Wenn ich jedoch zur Site blicke, kann ich sehen, dass ASP.NET_Session-Cookie als HttpOnly übergeben wird. Wie ist es auf HttpOnly festgelegt?Wie wird HttpOnly für ASP.NET_SessionId Cookie gesetzt?
ASP.NET-Sitzungscookies sind nur HTTP, unabhängig von der in Ihrer Frage verknüpften Einstellung httpOnlyCookies, da diese in ASP.NET gebrannt wird. Sie können dies nicht überschreiben.
Wenn Sie in die System.Web.SessionState.SessionIDManager Klasse in der der Code System.Web Baugruppe graben, um den ASP.NET Session-Cookie sieht für das Erstellen wie:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName, id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
Es ist Httponly so Ihre Session-Cookie vom Client nicht geändert werden kann mit JavaScript.
Korrigieren. Ich kannte diesen Teil. Ich formulierte meine Frage von "Warum" zu "Wie ist es eingestellt?" –
gefunden Dokumentation hier: http://msdn.microsoft.com/en-us/library/aa480476.aspx "HttpOnly. Diese Eigenschaft gibt an, ob auf das Cookie von Clientskript zugegriffen werden kann. In ASP.NET 2.0, dieser Wert wird immer auf "True" gesetzt. " –
@dev - Ich habe gerade in die System.Web.dll-Baugruppe gegraben, um einen Blick darauf zu werfen :) – Kev
Der Teil direkt darunter ist ebenfalls wichtig. Ältere Browser unterstützen HttpOnly nicht und können entweder das Cookie ignorieren oder das Attribut ignorieren. Letzteres lässt Ihre Website dennoch für XSS-Angriffe offen. –