14
通过劫持HTTPS cookie读取this /. article后,我有点好奇。我对它进行了一些跟踪,并且我偶然发现了一个很好的资源,列举了几种保护cookie的方法here。我必须使用adsutil,否则将在web.config的httpCookies部分中设置requireSSL覆盖会话cookie以及所有其他cookie(covered here)?还有什么我应该考虑进一步加强会议吗?通过HTTPS在ASP.NET中保护会话cookie
很好看的。有一点需要注意,他们对如何设置Cookie域的总结对于大多数浏览器实现来说并不准确。 RFC规定,对于example.com或example.com的任何子域的请求,应重新传输域名为“.example.com”的cookie。而空白域(它变成“example.com”)只会被重新发送到example.com域。实际上,浏览器会将cookies从域重新传输到所有子域,而不管前导期。所以在实践中,留空领域没有安全优势。 – 2010-10-21 19:53:20
链接已移至https://www.isecpartners.com/media/12009/web-session-management.pdf – 2013-10-24 10:11:46