问题标签 [requiressl]

我们基于 Sitecore 6.6.0 (rev. 120918) 的网站可以在 http 和 https 上运行。我们还有一项安全要求，即无论网站是否通过 http 访问，都使所有 cookie 都通过 SSL 传输。

我们通过使用 web.config 中的 requireSSL 属性实现了这一要求，如下所述：如何在 ASP.NET 会话 Cookie 上设置安全标志？

通过此更改，我们的公共网站可以正常运行，并且在 Firebug 中进行分析时，我们可以看到所有 cookie 都是“安全的”，即使通过 http 访问该网站也是如此。

但问题是当我尝试通过 http 登录到 sitecore 管理门户时，它会抛出错误The application is configured to issue secure cookies. These cookies require the browser to issue the request over SSL (https protocol). However, the current request is not over SSL.我可以访问 sitecore 管理门户的唯一方法是通过 https。即使使用 https，它也会带来一些奇怪的问题。使用一段时间后，它说很多管理员用户已登录，我必须踢一些才能进入。我也无法远程访问管理员门户。

为什么公共网站使用 SSL cookie，但 sitecore 管理门户存在 SSL cookie 问题。会不会是和我们网站不兼容的配置？

最近我们在我们的一个 ASP.NET 应用程序中进行了安全扫描（IBM AppScan），它报告了一个中等漏洞，如下所示

会话标识符未更新
严重性：中等
风险：可能会窃取或操纵客户会话和 cookie，这些会话和 cookie 可能被用来冒充合法用户，允许黑客查看或更改用户记录，并以该用户身份执行交易
原因：不安全的 Web 应用程序编程或配置。

ASP.NET 工具的建议修复是

对于不为 sessionid cookie 生成新值的平台（例如 ASP），请使用辅助 cookie。在这种方法中，将用户浏览器上的辅助 cookie 设置为随机值，并将会话变量设置为相同的值。如果会话变量和 cookie 值不匹配，则使会话无效，并强制用户再次登录。

我们为我们的应用程序安装了 SSL 证书，并确保所有 cookie（会话、身份验证和 AntiForgeryToken）都是安全的（RequireSSL="True"）-HttpOnly 并且还实施了 Microsoft 的 Microsoft 缓解 CSRF 漏洞的建议，如Microsoft CSRF Fix中所述。

我的问题是，即使使用 SSL 证书和流量超过 Https，仍然可以劫持会话吗？并且由于我已经在使用辅助 Secure-Httponly cookie（AntiForgeryToken），我还需要做什么才能使应用程序更安全？

我在 IIS 7.5 中有一个实时网站。我可以使用 http 协议正确登录到我的站点，直到我在 Web.config 中添加此行：

httpCookies httpOnlyCookies="true" requireSSL="true"

SSL 的所有配置都已完成，但我无法再使用 http 和 https 登录，尽管创建了 cookie .ASPXAUTH。

如果我设置requireSSL="false"，我可以正常登录。

请帮忙！

是否有在 https 上使用 SelfHost 的 ThinkTecture IdentityServer 的工作示例？

我在项目本身和单独的项目中搜索了样本以获取样本

• https://github.com/thinktecture/Thinktecture.IdentityServer.v3
• https://github.com/thinktecture/Thinktecture.IdentityServer.v3.Samples

我发现的所有内容都包含RequireSsl = false在http 中IdentityServerOptions，并且预定义了 url（例如 http://loсalhost:3333/core。任何将其更改为 https 的尝试都会导致IDX10803: Unable to create to obtain configuration from...

我需要的是工作示例或说明，如何更改任何示例以在 https 下运行。如果需要，我们可以假设示例中的任何客户端都已配置为 https。

所以先介绍一点背景知识：在 Azure 网站中运行的 NodeJS 服务器将自动将所有 HTTPS 请求定向到 http 端点。这允许以下代码同时适用于 HTTP 和 HTTPS

从这里我决定创建一个“RequireSSL”中间件

这就是背景发挥作用的地方。因为 Azure 将所有 HTTPS 重定向到 HTTP 协议，所以 req.protocol始终等于“http”，从而创建了一个重定向循环。

任何人都知道如何让它在 Azure 网站上工作？

我正在使用表单身份验证的 Asp.net 应用程序工作。在我的 web.config 上，我设置了 requiressl property=true。

我一直在进行开发，没有任何问题，但是当我将它部署到我的测试环境时，我得到了下一个错误：

该应用程序被配置为发布安全 cookie。这些 cookie 要求浏览器通过 SSL（https 协议）发出请求。但是，当前请求不是通过 SSL。”

错误是在

在 System.Web.Security.FormsAuthentication.SetAuthCookie(String userName, Boolean createPersistentCookie, String strCookiePath) 在 System.Web.Security.FormsAuthentication.RedirectFromLoginPage

所以我的问题是为什么 FormsAuthentication.SetAuthCookie 通过 http 设置 cookie？以及如何将其设置为通过 https ？