通过劫持HTTPS cookie读取this /. article后,我有点好奇。我对它进行了一些跟踪,并且我偶然发现了一个很好的资源,列举了几种保护cookie的方法here。我必须使用adsutil,否则将在web.config的httpCookies部分中设置requireSSL覆盖会话cookie以及所有其他cookie(covered here)?还有什么我应该考虑进一步加强会议吗?通过HTTPS在ASP.NET中保护会话cookie
14
A
回答
10
https://www.isecpartners.com/media/12009/web-session-management.pdf
一个19页的白皮书中的“安全会话管理Cookies设置为Web应用程序”
它们涵盖了很多,我以前从未见过的所有的在一个地方的安全问题。值得一读。
12
web.config中设置来控制这正好system.web元素中,看起来像:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
相关问题
- 1. 在PHP会话中保护cookie
- 2. 在asp.net中无Cookie会话
- 3. ASP.NET中的会话劫持保护
- 4. 通过Angular.js维护会话
- 5. 在Android中维护cookie会话
- 6. 会话保护
- 7. 保护会话
- 8. NSURLCredential是否通过https保护安全?
- 9. C#通过客户端上的HTTPS维护会话
- 10. 会话cookie和asp.net
- 11. 如何通过浏览器维护会话cookie
- 12. 会话,cookie在asp.net c#
- 13. ASP.NET会员会话cookie
- 14. 如何使ASP.NET会话cookie在ASP.NET HttpSession中过期?
- 15. 保护会话ID
- 16. 会话cookie由ASP.NET重置
- 17. 通过AuthenticationToken和Authenticator维护http会话
- 18. 通过PHP中的许多页面维护变量的值无Cookie,会话
- 19. 在ASP.Net Cookie或会话状态中存储会话信息?
- 20. 保留“仅会话”cookie,iOS
- 21. 保护以https
- 22. 护照会话管理禁用cookie时
- 23. 保护基于WIF的会话免受相关域Cookie攻击
- 24. 会话cookie设置域动态在ASP.NET
- 25. asp.net中的Cookie和会话状态
- 26. Cookie过期仅适用于会话Cookie
- 27. 关于ASP.NET中的会话劫持和保护
- 28. PHP session_start cookie不会保存会话ID
- 29. 在Android中通过http调用维护会话
- 30. Cookie不会保存在ASP.NET WebMethod
很好看的。有一点需要注意,他们对如何设置Cookie域的总结对于大多数浏览器实现来说并不准确。 RFC规定,对于example.com或example.com的任何子域的请求,应重新传输域名为“.example.com”的cookie。而空白域(它变成“example.com”)只会被重新发送到example.com域。实际上,浏览器会将cookies从域重新传输到所有子域,而不管前导期。所以在实践中,留空领域没有安全优势。 – 2010-10-21 19:53:20
链接已移至https://www.isecpartners.com/media/12009/web-session-management.pdf – 2013-10-24 10:11:46