读完这篇/后,我有点好奇.关于劫持HTTPS cookie的文章.我跟踪下来了一点,和一个很好的资源我偶然发现列出了几种方法,以确保饼干在这里.我必须使用adsutil,还是在web.config封面会话cookie的httpCookies部分设置requireSSL以及其他所有内容(此处介绍)?还有什么我应该考虑进一步强化会议吗?
https://www.isecpartners.com/media/12009/web-session-management.pdf
一篇19页的白皮书"用于Web应用程序的Cookie安全会话管理"
它们涵盖了许多我之前从未见过的安全问题.值得一读.
用于控制它的web.config设置进入System.Web元素,如下所示: