在服务器响应中,我通过将以下行放入所有 cookie 中来添加“安全”标志web.config:
<system.web>
<httpCookies requireSSL="true" />
</system.web>
这似乎有效,因为 ASP.NET_SessionId cookie 在响应中显示“安全”标志:
但是,当我在页面上执行操作并再次检查开发工具时,我注意到同一个 cookie 在客户端请求中不再具有“安全”标志:
我正在使用 Internet Explorer 11 开发人员工具查看网络。
会话 cookie 是否应该在客户端请求中包含“安全”标志?如果没有,是否存在“不安全”请求 cookie 的安全隐患?
在花了一些时间研究之后,我没有在我的应用程序中找到任何更改 cookie 或 cookie 上的“安全”标志的代码。任何有关此事的信息将不胜感激。