问题标签 [cookieless]

我正在研究 asp.net (4.0) 网站。我试图使用表单身份验证（）。显然试图让一些页面安全。我的理解是，最好的安全解决方案是设置 cookieless="UseCookies" 这样它就不会将 id 写入 URL。

我的问题是当我使用 cookieless="UseCookies" 时到底发生了什么。

1. 会话是否已创建并且某些 id 是否存储在浏览器中（〜内存，稍后用于从 IIS 服务器端会话“cookie”中提取信息）或者它实际上是创建“常规”客户端加密 cookie 的配偶？

（我显然试图避免写入 URL 和客户端 cookie - 不确定是否可以避免所有这些）

1. 如果它在浏览器中设置 ID，是否所有浏览器都允许在其中存储会话 ID。如果浏览器不允许这样做会发生什么？有没有办法预先检查它？

所以我想和我们所有人一样，我只是在尝试构建适当的安全应用程序，如果有人有任何其他建议，我们将不胜感激。

坦克很多，

Cookies in ASP.NET are causing me some problems.

For the most part, I want to use cookieless sessions. This is mainly to get around a problem where safari won't let me set the cookies from an iFrame. So that part all works fine. Cookieless sessions do the job.

However, I have a page which is called from a POST. It uses a post to pass in a hidden field from a form which then does some stuff....you don't really need to know what.

So it turns out that when cookieless sessions are on, the POST is disabled and only GETS can happen in ASP.NET web forms. This is breaking my functionality.

What I want to do is add a web.config to the folder that contains my POSTing pages to go back to normal cookie sessions so I can get my POSTs working again, but this doesn't work.

Does anyone know a way of making a folder work with normal cookie sessions while the rest of the site works with cookieless sessions?

我有一个使用 cookieless 会话（即会话 ID 在 url 中，而不是在 cookie 中）和主题的 asp.net Web 应用程序。使用主题，对 css 文件的引用将包含在发送给客户端的 HTML 中，其 url 包含会话 id，例如：

如果 css 使用相对于 css 位置的路径引用图像，则将通过包含会话 ID 的 URL 检索这些图像。

由于每次登录后会话 id 都会更改，因此客户端将始终必须在会话开始时至少向服务器请求一次 css 文件，并且无法使用本地浏览器缓存。

有没有一种简单的方法让 asp.net 插入没有会话 ID 的资源文件的链接，以便重复访问者能够使用他们的本地浏览器缓存？

寻找一种快速简单/低风险的方式。也就是说，比首先放弃使用主题更简单（并创建更小的重新测试表面），这将是中期计划。

谢谢！

让我试着举例说明。假设网站托管在example.com（NOT www.example.com）。为了提供无 cookie 的静态内容，我选择使用不同的域example-static.com。

现在，让我们考虑一下我的静态内容目前是这样提供的：

example-static.com** 现在我创建一个别名为我的主域的 CNAME 记录，即example.com这样静态内容就可以这样提供：

** 这就是我所要做的吗？所有浏览器都会执行 JavaScript 文件并加载 Web 字体而没有任何安全问题吗？或者我应该使用一些 .htaccess 规则来修改标头信息等吗？

PS：如果需要的话，如果你能提供应该添加的规则，那就太好了。

编辑：我向这个问题添加赏金的原因是我认识的人建议我不要从不同的域提供 JS。他们也无法给我一个明确的解释。

我在我的网站上创建了一个 www 域（一个永久重定向到 www.* 的域）。我还为我的资源（JS、CSS 等）创建了一个子域（称为 static.domain）。但是我在主域 (www.domain.com) 上的 cookie 也被发送到 static.domain.com 如何设置 cookie 路径以仅在 www 中启用？提前致谢。

我正在开发一个 facebook 应用程序，所以由于 P3P（隐私偏好项目），我不能依赖 cookie，是的，这是一个该死的痛苦（有​​关 Rails 和 Facebook 应用程序的图片，请参见幻灯片上的幻灯片 18 和 19） ...

在 Facebook 应用程序中，从浏览器的角度来看，每个 cookie 都是第三方 cookie。许多浏览器默认阻止它们。

所以我的问题是：如何在不依赖 cookie 的情况下实现 flash 消息？

更新：

我相应地修改session_store.rb了数据库。现在会话存储在数据库中，但闪存消息仍然依赖于 cookie ......请问有什么想法吗？

更新#2：

我终于找到了解决方法，请参阅下面的答案。最好的办法是ajax 一切（根据上面链接的幻灯片），但作为一个快速修复我的解决方案应该可以工作。

我已经设置了一个静态域别名来提供没有 cookie 的静态内容，但是由于这只是主域的别名，我担心如果它无意中链接到它，那么它可能会被索引。我想通过主站点 .htaccess 文件中的条件来防止静态域别名提供除 CSS、JS、JPG、GIF 文件等以外的任何内容。

即类似的东西：

如果域名包含术语“静态”，则将对以 .css、.js 等结尾的“非”文件的所有请求重定向到父域。

有任何想法吗？

这可能有点棘手，我不确定它是否正确。由于 iOS6 阻止在 Web 容器中设置 cookie，我的旧版 HTML5 Django 游戏非常依赖 cookie（会话 id）将无法再次运行。我正在尝试无cookie的方式，编写一个中间件将sessid从url中取出并将其保存到request.cookies ['sess_id']。我工作，但代码库包含很多依赖于 url 的逻辑，这些逻辑不可能一一改变...... url 可能看起来像，

现在我正在考虑从 url 中删除 sess 部分以使其返回

并且所有正在进行的过程都不需要改变。我想我可以修改 django 请求对象的原始属性。修改哪个属性？还有其他更好的主意吗？谢谢。

我想使用 less ( http://lesscss.org/ ) 而不是 sass ( http://sass-lang.com/ ) 来预处理 css。我有一组用于静态资源的无 cookie 域。例如：0.mydomain.com、1.mydomain.com、2.mydomain.com 等。我想使用 less 编译 CSS，以便将无 cookie 域注入到编译后的 CSS 输出中。我发现使用@function 在 sass 文档中创建自定义函数的能力。是否存在等价物（我找不到）？我需要一个执行散列算法的函数，将文件名转换为对应于无 cookie 域 (X.mydomain.com) 的数字 X。如何使用更少的资源来做到这一点？

下面的例子是为了说明而设计的：

在 my.less 文件中：

这将生成编译输出

SASS 示例是 http://sass-lang.com/docs/yardoc/file.SASS_REFERENCE.html#functions

请参阅“功能指令”部分

下面是 LESS 文档中最接近的示例，但没有构造基本 URL 的函数。

也许解决方案中也有 LESS + Node.js 部分？

谢谢！

当我将以下代码放在我的网站上以获得一个不错的标准 +1

它做了我不想要的事情。

如果没有此代码，我只有自己的 phpsessid 需要让我的网站正常运行。

使用此代码，以下 cookie 将从域 plusone.google.com 中删除

现在，当查看到期日期时，在 2014 年、2022 年、2013 年的某个地方……他们会活得很长很长。

关键是，如何通过 google+1 按钮禁用 cookie 放置的文档无处可取，我已尽力查看，甚至阅读了很多堆栈溢出帖子，希望找到相关的内容。

然而，我确实找到了如何在我的任务中禁用用于分析的 cookie（万岁！）但现在我需要找到一种方法、javascript 选项或其他东西来告诉 plusone 不要丢弃 cookie（荷兰万岁/欧洲 cookielaw）

问题： 有没有人遇到过告诉 +1 按钮不要丢弃 cookie 的文档/选项？