当requireSSL为true时，asp.net_sessionid是否应出现在http请求上

Question

下午的朋友们，

我想知道有没有人能就我遇到的这个问题给我提个醒。我不确定我应该看到什么，我想这是我遇到的主要问题。

我已经更改了web.config以使用以下内容：

<httpCookies requireSSL="true" />

当我通过http (而不是https)发出请求时，定义的常规cookie都可以正常工作，因为它们不会出现，但是asp.net_sessionid cookie( ASP.NET_SessionId=epg3ebjv1hheqe45kgp0j055)仍然会出现。这是正确的行为吗，它不应该丢失吗？

更新：

在互联网上进行了更多的搜索时，我发现这只适用于表单cookie。它不适用于会话cookie。西克纳！但是，以下链接建议对其进行修复：How to secure the ASP.NET_SessionId cookie?

这并没有解决我的问题不幸的是，cookie仍然出现在请求中。

Answer 1

cookie将始终出现。如果它是安全的，内容将被加密(如果你使用SSL，它将以加密的方式传输。

该会话ID必须以某种方式发送。如果您不希望将其存储为cookie，则可以考虑使用无cookie会话。在这种情况下，会话将是URL构造的一部分。

也许可以尝试设置一个自定义cookie名称，并使用您找到的解决方法？