从我在线阅读的所有内容来看,像这样的 web.config 应该在 ASP.NET 2.0 中启用 HttpOnly cookie。但是,这是行不通的。
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
...
</configuration>
还有什么我想念的吗?我看过很多关于这个主题的帖子,但是 cookie 不会显示为 HttpOnly(或者安全,如果我将 requireSSL="true" 添加到标签)。
我正在使用 IIS 7.0。
编辑:
我试图在根级别的 web.config 中设置它以覆盖所有 cookie。我正在查看 ASP 页面上 Firebug 中的 cookie,并且应该有绿色文本的 'HttpOnly' 部分显示 'HttpOnly' 对于其中一些是空的。
例子:
