it-swarm-korea.com

IIS 7.5에서 ASP.NET을 사용할 때 쿠키가 항상 SSL을 통해 전송되도록하는 방법?

Firesheep은 불안전 한 쿠키 교환 문제를 최전방에 가져 왔습니다.

웹 사용자와 통신 할 때 서버에 대한 SSL 보안 연결을 통해서만 모든 쿠키 교환이 발생하도록하려면 어떻게해야합니까?

우리의 시나리오는 웹 응용 프로그램이 ASP.NET 4.0으로 작성되고 범위가 좁아지면 IIS 7.5 실행) Windows Server 2008 R2에서 호스팅되는 것입니다.

23
cpuguru

app.config 를 사용하여 강제 실행할 수 있습니다. 형식은 (<system.web> 부분)

<httpCookies domain="String"
             httpOnlyCookies="true|false" 
             requireSSL="true|false" />

그래서 당신은 정말로 최소한 원하는

<httpCookies requireSSL='true'/>

그러나 정말 엉뚱한 자바 스크립트를하지 않는 한 httpOnlyCookies를 켜는 것이 좋습니다.

21
blowdart

나 자신을 발행하기로 결정 하면서이 스레드를 발견했습니다. 내가 가진 해결책은 쿠키 경로가 대소 문자를 구분한다는 것입니다. 관련 질문이 있습니다.

https://stackoverflow.com/questions/399982/why-are-cookie-paths-case-sensitive

내 해결책은 방문 페이지에서 올바른 경로로 리디렉션하는 것이 었습니다. 가능한 경로 재 지정 루프를 찾으십시오.

url.com/VirtualDirectory/default.aspx->

// 이제 올바른 경로를 제공합니다 url.com/virtualdirectory/default.aspx response.redirect ( "~/default.aspx");

1
MichaelChan