现在我们已经将主机从 Win2K3/IIS6 升级到 Win2k8R2/IIS7.5,我看到来自 IIS 站点的奇怪响应。ASP.Net 4.0 版
我们有一个非常复杂和成熟的 Web 应用程序,它使用带有以下配置的表单身份验证:
<authentication mode="Forms">
<forms loginUrl="~/Login" timeout="2000" domain="xx.xx.com" requireSSL="true" />
</authentication>
登录 URL 指向正确配置为 SSL 的 ASP.Net MVC 3 页面。
该站点在 IIS6 中按预期运行,但自从主机迁移后,成功登录后,响应标头中的 auth cookie 缺少 Secure 和 HttpOnly 属性。这是有问题的,因为我们有一个包含许多 HTTP 页面的混合内容站点。auth cookie 现在在每个请求中发送,而不仅仅是在通过 HTTPS 的请求中,并且现在对会话窃取漏洞开放。
我们的注销链接成功发送了一个包含 Secure 和 HttpOnly 属性的零长度 cookie。
这是从 Fiddler 成功登录和注销后的原始响应,经过编辑以保护无辜者 :)
Login Response:
HTTP/1.1 200 OK
Cache-Control: private
Content-Type: application/json; charset=utf-8
Set-Cookie: .ASPXAUTH=83FCCA...102D; domain=xx.xx.com; path=/
Date: Fri, 25 Jan 2013 22:53:31 GMT
Content-Length: 84
{...}
Logoff Response:
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: http://xx.xx.com/?...
Set-Cookie: .ASPXAUTH=; domain=xx.xx.com; expires=Tue, 12-Oct-1999 04:00:00 GMT; path=/; secure; HttpOnly
Set-Cookie: logoff=; path=/
Set-Cookie: ...
Date: Fri, 25 Jan 2013 22:57:01 GMT
Content-Length: 64053
<html><head><title>...
更改应用程序池的集成管道设置无效。
以下是 cookie 创建代码的重要部分:
var ctx = HttpContextFactory.Current;
var cookie = new HttpCookie(
FormsAuthentication.FormsCookieName,
FormsAuthentication.Encrypt(
new FormsAuthenticationTicket(
SessionId,
false,
Convert.ToInt32(FormsAuthentication.Timeout.TotalMinutes)
)
)
) { Domain = domain };
ctx.Response.Cookies.Add(cookie);
关于从哪里开始寻找导致这种情况的任何想法?