私は、GoogleのChromeデベロッパーツールでAudit機能を使用してWebアプリケーションを検査しました。Asp.netが提供する静的リソースのためのGoogle Chromeのセキュリティ警告を理解するには
まず、私たちが静的コンテンツをキャッシュしていないことを示す警告が表示されました。「以下のリソースは明示的にキャッシュ不可能です。可能であればキャッシュ可能にすることを検討してください。
これを修正するために私たちのウェブ-config設定にこのスニペットを追加したこのブログの記事で推奨されているように
<staticContent>
<clientCache cacheControlMode="UseMaxAge" cacheControlMaxAge="7.00:00:00" />
</staticContent>
:私は今、GoogleのChromeで新しい監査を開始した場合 http://blogs.msdn.com/b/carlosag/archive/2009/06/09/are-you-caching-your-images-and-scripts-iis-seo-can-tell-you.aspx
、私が手新しい警告:
次の公開キャッシュ可能なリソースには、Set-Cookie ヘッダーが含まれています。このセキュリティ脆弱性により、複数のユーザーが でCookieを共有する可能性があります。
潜在的なセキュリティ上の脅威と、Asp.netの可能な解決策について教えてください。
[更新]
は、いくつかのより多くの研究の後、私は、これは、この質問に関連している可能性が推測:
Why is ASP.NET forms authentication setting cookies on a static image request?
しかし、私は一緒にパズルを置くことができません。状況はまったく同じではありませんが、私たちのアプリケーションはフォーム認証を使用するように設定できますが、Windows認証を使用している間は警告が表示されます。
イベントが接続されていますか?セキュリティ上の脅威はかなり明確で、複数のユーザーが同じCookieを使用できますが、これは単一のユーザーのコンピュータでは問題ありません。 –
@Ramhound少なくともクロムツールは接続があると思う。webconfigからキャッシュ命令を削除した場合は、代わりに別の警告が表示されます。以下のリソースは明示的にキャッシュ不可能です。可能であればキャッシュ可能にすることを検討してください。 –
'Cache-Control'ヘッダーに値 'private'を追加すると、リソースはクライアントのみでキャッシュでき、中間マシンではキャッシュできません。この方法では、同じクッキーを異なるクライアントに返すべきではありません。 –