如何保护 .ASPXAUTH 令牌以便通过 SSL 发送。
问问题
6461 次
1 回答
13
直接来自msdn 文档:
为防止表单身份验证 cookie 在通过网络时被捕获和篡改,请确保您对所有需要身份验证访问的页面使用 SSL,并通过设置元素
requireSSL="true"
将表单身份验证票证限制为 SSL 通道。<forms>
requireSSL="true"
将表单身份验证 cookie 限制为在元素上设置的 SSL 通道<forms>
,如以下代码所示:
<forms loginUrl="Secure\Login.aspx" requireSSL="true" ... />
通过设置
requireSSL="true"
,您可以设置确定浏览器是否应将 cookie 发送回服务器的安全 cookie 属性。设置了安全属性后,浏览器只会将 cookie 发送到使用 HTTPS URL 请求的安全页面。
注意:使用 时requireSSL="true"
,auth cookie 仅针对通过 SSL 请求的页面发送。因此,如果您通过 HTTP(非 SSL)访问页面,您可能看起来没有登录。本文讨论了该问题并提出了与 SharePoint 网站相关的解决方案(但理论是可转移的):保护混合 SSL SharePoint 网站的身份验证 cookie
于 2012-06-11T19:48:44.980 回答