当我打开我的网站时,会生成三个Cookie “ASP.NET_SessionId”,“S_pers”和“s_sess”。如何在ASP.NET中将“S_pers”和“s_sess”cookie标记为安全的?
我能够做出“ASP.NET_SessionId”为安全使用下面一行在web.config中
<httpCookies requireSSL="true" />
但其他的cookie仍然没有保障。如何在ASP.NET中保护其他Cookie“S_pers”和“s_sess”?
当我打开我的网站时,会生成三个Cookie “ASP.NET_SessionId”,“S_pers”和“s_sess”。如何在ASP.NET中将“S_pers”和“s_sess”cookie标记为安全的?
我能够做出“ASP.NET_SessionId”为安全使用下面一行在web.config中
<httpCookies requireSSL="true" />
但其他的cookie仍然没有保障。如何在ASP.NET中保护其他Cookie“S_pers”和“s_sess”?
如果它们是从OmnitureAnalytics.js设置的,则.NET与它们无关。同样,因为它们是从Javascript设置在客户端上的,所以任何服务器设置都是不相关的。
OmnitureAnalytics应该能够将其Cookie设置为安全。如果不行,你不能轻易做到这一点(除了改变你可能不想做的OmnitureAnalytics.js)。
从您的角度来看,这听起来更像是第三方安全决策 - 您是否愿意接受这种风险(这应该取决于这些cookies中的内容,如果攻击者知道这些cookie值,会发生什么情况等等) )
感谢您的澄清。 – Anshul
什么第三方组件设置这些cookie? – David
@David,我认为它是从OmnitureAnalytics.js设置的。 – Anshul