|
3
|
| Sudhanshu Mishra · 技术社区 · 16 年前 |
|
|
1
2
我认为您的架构师在使用JavaScript访问cookie方面不正确。 除了javascript访问HTML中的其余数据之外,没有理由停止在页面中运行的javascript访问cookie。 将安全限定符添加到cookie的目的是防止在不安全的请求中发送它。
或者在客户端连接时使用
因此,为了测试你的设置,给自己一份 fiddler ,通过https点击服务器,然后在同一浏览器会话中,只使用http点击同一位置。Fiddler应该显示到服务器的第二个请求,不应该存在AspSession cookie。 |
|
|
2
4
刚刚遇到这个问题是因为“新的”PCI合规性项目。这有点笨拙,但这似乎奏效了:
|
|
|
3
3
您似乎对secure和httponly感到困惑 这些是不同的。您提到的MS知识库文章是为了安全起见。 设置cookie安全将停止IIS/浏览器通过HTTP发送ASP会话ID。 设置cookie httponly将阻止脚本(javascript)访问大多数浏览器中的值。 在sessionid cookie上设置httponly是一个很好的理由。它有助于防止用户sessionid cookie被盗,这可能导致会话劫持。这就是主要浏览器实现它的原因。 |