DNNのクッキーはすべてのポータルで保護されていません

Question

私はDNN 8.00.04のウェブサイトを持っています。 このサイトには5つのポータルがあります。

メインポータルでは、すべてのCookieが安全でhttpのみです。 しかし、他の4つのポータルではそうではありません。

私はDNNのコミュニティを見てきましたが、何も関係がないことを発見しました。 どうすればそれらがすべて安全であることを確認できますか？

• 'tankpas_cookie_accept'はコードで作成したCookieで、secureとhttpOnlyに設定されています。
はASP.NET_SessionIdのために私はIDをリフレッシュするには、次の資料を使用しています Generating a new ASP.NET session in the current HTTPContext

しかし、他のクッキーは、DNNのクッキーは、私は彼らが安全に設定する方法がわからないWICHです。 SSL強制がチェック：SSL設定

SSLが有効になっサイト管理 - - （ポータル） - - 高度な設定をホスト：

は私が出回っポータルSSLが通じ を有効に作ってみました

を確認しました - EDIT-- は

に

<httpCookies httpOnlyCookies="true" requireSSL="false" domain="" /> 

からのWebConfigを変更します

これを変更すると、管理ポータルを使用できなくなりました。

- 編集2- 次を追加すると、サイトを開こうとすると505エラーが表示されます。

cookies main portal

<rewrite> 
    <outboundRules> 
     <rule name="Add Strict-Transport-Security when HTTPS" enabled="true"> 
     <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" /> 
     <conditions> 
      <add input="{HTTPS}" pattern="on" ignoreCase="true" /> 
     </conditions> 
     <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" /> 
     </rule> 
    </outboundRules> 
</rewrite> 

cookies second portal

Thxを

Answer 1

これはあなたが必要な正確に何ですが、web.configファイルStrict Transport Securityを可能にすることができるかどうかわかりません。

<system.webServer> 
    <rewrite> 
     <outboundRules> 
     <rule name="Add Strict-Transport-Security when HTTPS" enabled="true"> 
      <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" /> 
      <conditions> 
      <add input="{HTTPS}" pattern="on" ignoreCase="true" /> 
      </conditions> 
      <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" /> 
     </rule> 
     </outboundRules> 
    </rewrite> 
</system.webServer> 

そしてsecure cookies

<system.web> 
    <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" /> 
</system.web>