如何在ASP.NET中将“S_pers”和“s_sess”cookie标记为安全的？

Question

当我打开我的网站时，会生成三个Cookie “ASP.NET_SessionId”，“S_pers”和“s_sess”。

我能够做出“ASP.NET_SessionId”为安全使用下面一行在web.config中

<httpCookies requireSSL="true" /> 

但其他的cookie仍然没有保障。如何在ASP.NET中保护其他Cookie“S_pers”和“s_sess”？

Answer 1

如果它们是从OmnitureAnalytics.js设置的，则.NET与它们无关。同样，因为它们是从Javascript设置在客户端上的，所以任何服务器设置都是不相关的。

OmnitureAnalytics应该能够将其Cookie设置为安全。如果不行，你不能轻易做到这一点（除了改变你可能不想做的OmnitureAnalytics.js）。

从您的角度来看，这听起来更像是第三方安全决策 - 您是否愿意接受这种风险（这应该取决于这些cookies中的内容，如果攻击者知道这些cookie值，会发生什么情况等等） ）