FormsAuthentication.FormsCookiePath

Question

Q1我读到在设置身份验证cookie的超时时，我们应该记住cookie存在的时间越长，cookie被窃取和误用的可能性就越大。

A)但假设我们通过为整个应用程序启用SSL来保护应用程序免受重放攻击，并且由于forms身份验证模块还加密身份验证cookie中的身份验证数据，那么我认为该cookie不会被误用，因此cookie保存较长时间应该不会带来任何安全风险？！

Q2

FormsAuthentication.FormsCookiePath指定存储身份验证cookie的位置。默认值为‘/’。

A)假设使用默认值‘/’，那么cookie保存在哪里？

B)此选项是否仅用于持久性cookies？

谢谢

Answer 1

2A cookie路径是cookie所涉及的服务器上的路径，而不是存储cookie的路径。

来自http://www.quirksmode.org/js/cookies.html

该路径使您可以指定cookie处于活动状态的目录。因此，如果希望cookie仅发送到cgi-bin目录中的页面，请将路径设置为/cgi-bin。通常将路径设置为/，这意味着cookie在整个域中都有效。此脚本执行此操作，因此您可以在此页面上设置的cookies将被发送到www.quirksmode.org域中的任何页面(尽管只有此页面具有搜索cookies并对其执行某些操作的脚本)。

您正在使用ASP.Net。如果您担心cookies，也可以查看"CookieLess“会话和授权选项，例如http://msdn.microsoft.com/en-us/library/system.web.security.formsauthentication.formscookiepath.aspx。它使用URL会话ID来跟踪您的会话。

您还可以使用SQL server跟踪会话状态或状态服务器。例如：

<sessionState mode="SQLServer" sqlConnectionString="SQLSessionDB" cookieless="false" timeout="65" cookieName="MSESSID"/>

1A.SSL对传输进行加密。因此，您的cookie将不太可能在返回或返回客户的途中被盗。这并不意味着客户端计算机上的恶意程序不能窃取它。不过，这是不太可能的。