Sto utilizzando System.IdentityModel per autenticare gli utenti in un'applicazione Web ASP.NET MVC4 utilizzando i moduli auth con un'entità sinistri. (codice basato su questo articolo: http://brockallen.com/2013/01/26/replacing-forms-authentication-with-wifs-session-authentication-module-sam-to-enable-claims-aware-identity/)SessionAuthenticationModule Cookie Handler che non crea cookie HttpOnly sicuro
My ClaimsBasedAuthenticationService classe emette il cookie SAM dal SessionSecurityToken, e tutto è andato bene ... tranne che ho appena notato che non sta creando i cookie di sessione come HTTPOnly o che richiede loro per richiedere SSL. Quando eseguo il debug del codice, posso vedere che quelle proprietà sull'oggetto CookieHandler sono impostate correttamente nel debugger, ma il cookie della sessione finale che viene creato semplicemente non ha i contrassegni HTTPOnly e Secure.
ho le linee web.config per impostare questi true esplicitamente come tale:
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
<authentication mode="Forms">
<forms ... requireSSL="true" />
</authentication>
...
</system.web>
<system.identityModel.services>
<federationConfiguration>
<cookieHandler requireSsl="true" hideFromScript="true" />
</federationConfiguration>
</system.identityModel.services>
Qualcuno può dirmi se c'è qualche altra cosa che mi manca in modo che i miei biscotti FedAuth per essere nascosto dallo script (HTTPOnly) e richiedono SSL?
qualcuno ha suggerito di aggiungere l'attributo lockItem = "true" all'elemento httpCookies, ma che non ha fare qualsiasi cosa –