Hinzufügen von httpOnly Flag zu ss-ID/ss-pid Servicestack Cookies

Question

Ich arbeite an einem selbst gehosteten Windows-HTTP-Dienst mit Service-Stack, habe ich eine Anfrage zur Basis-Authentifizierung (Benutzername/Passwort) zur Authentifizierung der aufrufenden Anwendungen zu implementieren . Dies ist der Code, den ich jetzt bin mit und es funktioniert gut:

 Plugins.Add(new AuthFeature(() => new AuthUserSession() {}, 
new IAuthProvider[] { new BasicAuthProvider() })); //CustomBasicAuthProvider() 

     container.Register<ICacheClient>(new MemoryCacheClient()); 

     var userRepository = new InMemoryAuthRepository(); 
     container.Register<IUserAuthRepository>(userRepository); 
     string hash; 
     string salt; 

     new SaltedHash().GetHashAndSaltString("passwordinhere", out hash, out salt); 
       userRepository.CreateUserAuth(new UserAuth() 
       { 
        Id = 1, 
        DisplayName = "userdisplayname", 
        UserName = "usernameinhere", 
        PasswordHash = hash, 
        Salt = salt 
       } 
        , "app"); 

Wenn ich die Antwort-Header kommt von meinem Service inspizieren Ich sehe deutlich, dass es 2 Cookies enthält:

Set-Cookie: ss -id = dT8Yy6ejhgfjhgfkVvcxcxCNtngYRS4; path =/

Set-Cookie: ss-pid = p4lsgo18JhYF4CTcxkhgkhgffRZob; path = /; expires = Fr, 9. Januar 2037 12.17.03 GMT

ich brauche ServiceStack zu konfigurieren hinzufügen ; httpOnly Flag zu diesen Cookies aus Sicherheitsgründen, aber ich kann nicht finden, wie es zu tun.

Also Jungs, hat jemand eine Idee, wie man das macht? Jede Idee ist sehr willkommen.

Vielen Dank im Voraus für Ihre Hilfe :)

Answer 1

Sie können festlegen, ob HttpOnly Flagge auf Plätzchen mit Config.AllowNonHttpOnlyCookies gesetzt werden standardmäßig die false so immer die HttpOnly Flag gesetzt würde, ist. Leider wurde diese Einstellung bei den Self-Hosts ignoriert, was nun mit this commit gelöst wird, die jetzt standardmäßig HttpOnly Flag für alle Cookies enthält.

Diese Änderung ist ab v4.5.5 + jetzt available on MyGet verfügbar.