ASP.NET 会话 cookie 仅是 HTTP,无论您的问题中链接到的 httpOnlyCookies 设置如何,因为它被刻录到 ASP.NET 中。你不能覆盖它。
资料来源:已接受答案如何为 ASP.NET_SessionId cookie 设置 HttpOnly?
收到响应时,我无法在浏览器中看到该标志。应用程序 web.config 没有定义 httpCookies 元素,也没有在全局文件中将 HttpOnly 属性设置为 false。
但是,在笔测试报告中,它谈到了使用不安全的 asp.net 会话 cookie,我可以看到同一请求的 HttpOnly 标志。见下文:
同样,我不是在询问 cookie 安全性或渗透测试问题本身。我只是想知道为什么浏览器没有显示标志。在 IE 和 Chrome 中都试过了。