當我打開我的網站時,會生成三個Cookie 「ASP.NET_SessionId」,「S_pers」和「s_sess」。如何在ASP.NET中將「S_pers」和「s_sess」cookie標記爲安全的?
我能夠做出「ASP.NET_SessionId」爲安全使用下面一行在web.config中
<httpCookies requireSSL="true" />
但其他的cookie仍然沒有保障。如何在ASP.NET中保護其他Cookie「S_pers」和「s_sess」?
當我打開我的網站時,會生成三個Cookie 「ASP.NET_SessionId」,「S_pers」和「s_sess」。如何在ASP.NET中將「S_pers」和「s_sess」cookie標記爲安全的?
我能夠做出「ASP.NET_SessionId」爲安全使用下面一行在web.config中
<httpCookies requireSSL="true" />
但其他的cookie仍然沒有保障。如何在ASP.NET中保護其他Cookie「S_pers」和「s_sess」?
如果它們是從OmnitureAnalytics.js設置的,則.NET與它們無關。同樣,因爲它們是從Javascript設置在客戶端上的,所以任何服務器設置都是不相關的。
OmnitureAnalytics應該能夠將其Cookie設置爲安全。如果不行,你不能輕易做到這一點(除了改變你可能不想做的OmnitureAnalytics.js)。
從您的角度來看,這聽起來更像是第三方安全決策 - 您是否願意接受這種風險(這應該取決於這些cookies中的內容,如果攻擊者知道這些cookie值,會發生什麼情況等等) )
感謝您的澄清。 – Anshul
什麼第三方組件設置這些cookie? – David
@David,我認爲它是從OmnitureAnalytics.js設置的。 – Anshul