读完这个/后有点好奇。关于劫持 HTTPS cookie 的文章。我稍微追踪了一下,我偶然发现的一个很好的资源列出了一些在这里保护 cookie 的方法。我必须使用 adsutil,还是在 web.config 的 httpCookies 部分中设置 requireSSL 会覆盖所有其他会话 cookie(在此处介绍)?还有什么我应该考虑进一步加强会议的吗?
Chris
问问题
13448 次
2 回答
11
https://www.isecpartners.com/media/12009/web-session-management.pdf
一份 19 页的白皮书“使用 Cookie 进行 Web 应用程序的安全会话管理”
它们涵盖了许多我以前从未在一个地方看到过的安全问题。值得一读。
于 2008-09-10T14:12:26.170 回答
11
用于控制它的 web.config 设置位于 System.Web 元素内部,如下所示:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
于 2012-06-15T15:07:38.320 回答