通过HTTPS在ASP.NET中保护会话cookie

读完这篇/后,我有点好奇.关于劫持HTTPS cookie的文章.我跟踪下来了一点,和一个很好的资源我偶然发现列出了几种方法,以确保饼干在这里.我必须使用adsutil,还是在web.config封面会话cookie的httpCookies部分设置requireSSL以及其他所有内容(此处介绍)？还有什么我应该考虑进一步强化会议吗？

1> Aaron Wagner..：

---

https://www.isecpartners.com/media/12009/web-session-management.pdf

一篇19页的白皮书"用于Web应用程序的Cookie安全会话管理"

它们涵盖了许多我之前从未见过的安全问题.值得一读.

---

好读.有一点需要注意,他们对如何设置cookie域的总结对于大多数浏览器实现来说并不准确.RFC规定,对于example.com或example.com的任何子域的请求,应重新传输具有域".example.com"的cookie.空白域(变为"example.com")将仅重新传输到example.com域.实际上,无论领先时期如何,浏览器都会将cookie从域重新传输到所有子域.因此在实践中将域留空不提供任何安全优势.

2> Brad Patton..：

---

用于控制它的web.config设置进入System.Web元素,如下所示: