httpCookies requireSSL在http上设置为true不会导致任何错误

Question

我已经在web.config中将httpCookies requireSSL值设置为true，并且在本地机器上运行Web应用程序而无需https运行。除了尝试阅读Request.Cookie之外，所有运行都很好。

它不存在。我假设，因为我没有启用SSL，它从来没有创建它，但没有警告说它失败了。我只知道当我尝试读取一个cookie值。

它不应该警告你吗？

Answer 1

不，这个设置的作用是在设置cookie时发送'Secure'参数。在收到带有该参数的cookie后，客户端只应在使用的连接安全时将其发送回服务器。

这就是为什么客户端没有发回cookie并且没有看到它。另外，服务器不应该通过不安全的连接发送这种类型的cookie。

请参阅RFC-2109，第4.2.2节关于如何使用和解释'安全'属性的说明。