MVC中ASPXAUTH Cookie的安全标志

Question

我们有一个用ASP.NET MVC3开发的应用程序。渗透-由IBM AppScan工具完成的测试。

据报道，ASPXAUTH是不安全的。当我检查浏览器的开发工具时，有一些带有安全标志的cookie。但ASPXAUTH不是其中之一。

我已经在Web.Config文件中包含了下面的代码行。

<httpCookies requireSSL="true"/>

注意:我们不使用表单身份验证登录。

将ASPXAUTH标记为安全的正确方法是什么？

Answer 1

我将进行猜测，并说您的配置中的这个标志被忽略了：

查看httpCookies文档，它说“此设置被任何公开requireSSL配置的其他特性覆盖”。

确保设置它的一种方法是在专用代码中这样做。

这个堆栈溢出答案有一个例子

基本上，在protected void Application_EndRequest(Object sender, EventArgs e)在Global.asax中完成响应之前，检查正确的cookie并将.Secure属性设置为true

Answer 2

从MSDN中检查它

若要防止跨网络时捕获和篡改窗体身份验证cookie，请确保对需要通过身份验证访问的所有页使用SSL，并通过在元素上设置requireSSL="true“将窗体身份验证票证限制在SSL通道上。