我们有一个使用 ASP.NET MVC3 开发的应用程序。由 IBM AppScan 工具完成的渗透测试。
问题已报告,ASPXAUTH 不安全。当我检查浏览器的开发者工具时,有一些带有安全标志的cookie。但 ASPXAUTH 不是其中之一。
我已经在 Web.Config 文件中包含了以下代码行。
<httpCookies requireSSL="true"/>
注意:我们不使用表单例份验证进行登录。我们正在使用单点登录机制。
将 ASPXAUTH 标记为安全的正确方法是什么?
最佳答案
在 Global.asax.cs 文件中添加以下代码。
protected void Application_EndRequest(object sender, EventArgs e)
{
if (Response.Cookies.Count > 0)
{
foreach (string s in Response.Cookies.AllKeys)
{
Response.Cookies[s].Secure = true;
}
}
}
}
关于c# - MVC 中 ASPXAUTH Cookie 的安全标志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46727309/