6

从我在线阅读的所有内容来看,像这样的 web.config 应该在 ASP.NET 2.0 中启用 HttpOnly cookie。但是,这是行不通的。

<configuration>
<system.web>
    <httpCookies httpOnlyCookies="true" />
</system.web>
...
</configuration>

还有什么我想念的吗?我看过很多关于这个主题的帖子,但是 cookie 不会显示为 HttpOnly(或者安全,如果我将 requireSSL="true" 添加到标签)。

我正在使用 IIS 7.0。

编辑:

我试图在根级别的 web.config 中设置它以覆盖所有 cookie。我正在查看 ASP 页面上 Firebug 中的 cookie,并且应该有绿色文本的 'HttpOnly' 部分显示 'HttpOnly' 对于其中一些是空的。

例子:

在此处输入图像描述

4

0 回答 0