0

我对这个设置的实际作用感到困惑。

根据 MSDN,“获取或设置一个值,该值指示是否启用了对浏览器的 HttpOnly cookie 的支持。”

但我很难理解这实际上意味着什么。

我遇到的问题是在我的 MVC 应用程序中,会话 cookie 没有与安全标志一起发送。我已将该RequireSSL="True"属性放在 web 配置的表单和 cookie 部分中,但会话 ID cookie 仍未在 SSL 下发送。我想知道这个其他属性是否与它有关。

4

1 回答 1

0

如果您已实施requireSSL="true",则您的 cookie 应仅通过 HTTPS 协议传输。对此无需再多要求了。HttpOnly 标志告诉浏览器该 cookie 只能由服务器访问——而不是任何客户端脚本。这可以防止尊重此标志的现代浏览器中的某些 XSS 攻击(此时应该几乎全部)。

于 2013-06-27T19:07:12.000 回答