1

我正在使用服务堆栈开发一个自托管的 Windows HTTP 服务,我有一个请求来实现基本身份验证(用户名/密码)来验证调用应用程序。这是我现在正在使用的代码,它工作正常:

        Plugins.Add(new AuthFeature(() => new AuthUserSession() {},
 new IAuthProvider[] { new BasicAuthProvider() })); //CustomBasicAuthProvider()

        container.Register<ICacheClient>(new MemoryCacheClient());

        var userRepository = new InMemoryAuthRepository();
        container.Register<IUserAuthRepository>(userRepository);
        string hash;
        string salt;

        new SaltedHash().GetHashAndSaltString("passwordinhere", out hash, out salt);
                userRepository.CreateUserAuth(new UserAuth()
                {
                    Id = 1,
                    DisplayName = "userdisplayname",
                    UserName = "usernameinhere",
                    PasswordHash = hash,
                    Salt = salt
                }
                    , "app");

当我检查来自我的服务的响应标头时,我清楚地看到它包含 2 个 cookie:

设置 Cookie:ss-id=dT8Yy6ejhgfjhgfkVvcxcxCNtngYRS4;path=/

设置 Cookie:ss-pid=p4lsgo18JhYF4CTcxkhgkhgffRZob;path=/;expires=Fri, 09 Jan 2037 12:17:03 GMT

为了安全起见,我需要配置 ServiceStack 以将 ;httpOnly 标志添加到这些 cookie 中,但我找不到如何做到这一点。

所以伙计们,有人知道如何做到这一点吗?任何想法都非常受欢迎。

在此先感谢您的帮助 :)

4

1 回答 1

0

您可以控制是否HttpOnly在 Cookie 上设置标志Config.AllowNonHttpOnlyCookies,默认情况下false会始终设置HttpOnly标志。不幸的是,自主机忽略了这个设置,现在这个提交HttpOnly解决了这个问题,现在默认情况下会为所有 Cookie填充标志。

此更改从 v4.5.5+ 开始可用,现在可在 MyGet 上使用

于 2017-01-10T02:27:57.033 回答