我使用 C# 编写了一个 ASP.net Web 服务。服务本身以及部署到阶段和生产的一切都很好。但是,在运行 Acunetix 扫描后,跨站点脚本存在问题。我们的整个网络都在一个 WAF 后面,它能够添加一些 cookie 来为此提供保护。为了让 WAF 工作,它需要附加另一个 cookie,我们正在尝试使用 ASP.Net_SessionID cookie。这个 cookie 没有显示,所以我们将下面的行添加到 web 配置中,cookie 开始只显示在舞台系统上。当我们将此更新部署到生产环境时,cookie 没有出现。
<sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="20"/>
据我们所知,两台服务器在功能上是相同的,iis 6、操作系统、dll 等。然而,我们无法让这个 cookie 填充。有任何想法吗?