如何保护.ASPXAUTH令牌

Question

如何保护SSL令牌，使其通过.ASPXAUTH发送。

Answer 1

直接从msdn docs

若要防止表单身份验证cookies在跨网络时被捕获和篡改，请确保对需要经过身份验证的访问的所有页使用SSL，并通过在<forms>元素上设置requireSSL="true"将窗体身份验证票证限制为SSL通道。

若要将窗体身份验证cookies限制为SSL，请在<forms>元素上设置requireSSL="true"，如下面的代码所示：

<forms loginUrl="Secure\Login.aspx" requireSSL="true" ... />

通过设置requireSSL="true"，可以设置安全cookie属性，该属性确定浏览器是否应将cookie发送回服务器。设置了secure属性后，浏览器仅将cookie发送到使用HTTPS URL请求的安全页。

注意：在使用requireSSL="true"时，只为通过SSL请求的页面发送身份验证cookie。因此，如果您通过HTTP (非SSL)访问页面，则可能显示您未登录。本文讨论了这个问题，并提出了一个解决方案，因为它适用于SharePoint站点(但理论是可以转移的)：Securing the authentication cookie for mixed SSL SharePoint sites