如何在ASP.NET中將「S_pers」和「s_sess」cookie標記爲安全的？

Question

當我打開我的網站時，會生成三個Cookie 「ASP.NET_SessionId」，「S_pers」和「s_sess」。

我能夠做出「ASP.NET_SessionId」爲安全使用下面一行在web.config中

<httpCookies requireSSL="true" /> 

但其他的cookie仍然沒有保障。如何在ASP.NET中保護其他Cookie「S_pers」和「s_sess」？

Answer 1

如果它們是從OmnitureAnalytics.js設置的，則.NET與它們無關。同樣，因爲它們是從Javascript設置在客戶端上的，所以任何服務器設置都是不相關的。

OmnitureAnalytics應該能夠將其Cookie設置爲安全。如果不行，你不能輕易做到這一點（除了改變你可能不想做的OmnitureAnalytics.js）。

從您的角度來看，這聽起來更像是第三方安全決策 - 您是否願意接受這種風險（這應該取決於這些cookies中的內容，如果攻擊者知道這些cookie值，會發生什麼情況等等） ）