Nel mio progetto web setting to turn on httpOnlyCookies non c'è. È falso per impostazione predefinita. Inoltre non c'è posto nel codice in cui il cookie viene impostato su HttpOnly. Tuttavia, quando navigo sul sito posso vedere che il cookie ASP.NET_Session viene passato come HttpOnly. Come è impostato su HttpOnly?Come viene impostato HttpOsly per il cookie ASP.NET_SessionId?
6
A
risposta
14
I cookie di sessione ASP.NET sono solo HTTP, indipendentemente dall'impostazione httpOnlyCookies
collegata alla domanda, poiché questa viene masterizzata in ASP.NET. Non puoi ignorare questo.
Se si scava nella classe System.Web.SessionState.SessionIDManager
nell'assemblea System.Web il codice per creare il cookie di sessione ASP.NET assomiglia:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName, id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
1
È HttpOnly così il cookie di sessione non può essere modificato dal cliente con JavaScript.
+0
corretto. Conoscevo quella parte. Ho riformulato la mia domanda da "perché" a "come è impostata?" –
Problemi correlati
- 1. ASP.NET_SessionId mancante
- 2. Risposta Il cookie non viene impostato da Chrome e IE
- 3. Perché il cookie jQuery non ha effettivamente impostato un cookie?
- 4. Verifica se il cookie è impostato
- 5. Cookie non viene eliminato
- 6. Solo il cookie JSESSIONID impostato dalla prima richiesta di accesso non viene inviato nelle richieste successive?
- 7. Il cookie non viene mantenuto in MVC
- 8. Set-cookie in risposta non impostato per richiesta post Angular2
- 9. jquery valore impostato dei cookie per booleano VERO
- 10. MVC3 OutputCache VaryByHeader = non Cookie stato impostato
- 11. Perché il mio cookie non viene cancellato/rimosso?
- 12. Django REST Framework CSRF non riuscito: cookie CSRF non impostato
- 13. Cookie impostato dal server applicazioni con doppie virgolette
- 14. Come impostare Cookie in PHP per dominio
- 15. Perché ottengo il "cookie CSRF non impostato" quando il POST è in framework Django REST?
- 16. Quando viene impostato un contentSize di UITableView?
- 17. Dove viene impostato il profilo $ di Windows PowerShell?
- 18. Come impostare il valore del cookie?
- 19. Sporadic 403 "CSRF FAILURECSRF cookie non impostato" errori con django
- 20. Il cookie CORS con il campo dominio è impostato solo in Firefox utilizzando jQuery AJAX
- 21. Il cookie "metadati" (scadenza, percorso, ...) viene trasferito al server?
- 22. Perché il cookie è disponibile nella richiesta subito dopo aver impostato l'utilizzo della risposta?
- 23. OnMenuItemSelected non viene chiamato quando il layout è impostato per la voce di menu
- 24. Il mio cookie può essere impostato o meno nel mio firefox?
- 25. Come eliminare il cookie di sessione?
- 26. jQuery plugin per cookie - $ cookie non definiti
- 27. Come impostare il valore impostato per l'opzione in CRM 2011?
- 28. Cookie PHP per domini multipli
- 29. UI angolare Select2, perché il modello ng viene impostato come stringa JSON?
- 30. Come e dove viene impostato esattamente il client di posta elettronica predefinito nel registro?
ha trovato la documentazione qui: http://msdn.microsoft.com/en-us/library/aa480476.aspx "HttpOnly. Questa proprietà specifica se è possibile accedere al cookie tramite script client. In ASP.NET 2.0, questo valore è sempre impostato su true. " –
@dev - Ho appena scavato nell'assembly System.Web.dll per dare un'occhiata :) – Kev
Anche la parte sottostante è importante. I browser meno recenti non supportano HttpOnly e possono ignorare il cookie o ignorare l'attributo, quest'ultimo lascia comunque il tuo sito aperto agli attacchi XSS. –