MVC中ASPXAUTH Cookie的安全标志

Question

我们有一个使用ASP.NET MVC3开发的应用程序。渗透测试由IBM AppScan工具完成。

问题已被报告，它是ASPXAUTH不安全。当我检查浏览器的开发者工具时，有一些带有安全标志的cookie。但ASPXAUTH不是其中之一。

已经我已经包含在以下Web.config文件的代码行。

<httpCookies requireSSL="true"/> 

注：我们不使用窗体身份验证登录。我们正在使用Signle Sign-On机制。

将ASPXAUTH标记为安全的正确方法是什么？

Answer 1

在Global.asax.cs文件中添加以下代码。

protected void Application_EndRequest(object sender, EventArgs e) 
     { 

       if (Response.Cookies.Count > 0) 
       { 
        foreach (string s in Response.Cookies.AllKeys) 
        { 
         Response.Cookies[s].Secure = true; 
        } 
       } 
      } 
     }