103
ASP.NETセッションCookieにSecureフラグを設定すると、HTTPS経由でのみ送信され、プレーンなHTTP経由では送信されません。ASP.NETセッションCookieでSecureフラグを設定するにはどうすればよいですか?
A
答えて
82
2つの方法があり、web.config内の1つのhttpCookies要素のみだけでも内部のフォーム認証SSLでセッションを含むすべてのクッキーを送信しているあなたはrequireSSLをオンにすることができますが、あなたはhttpcookiesにSSLをオンにした場合、あなたはまた、それをオンにする必要があります内部フォーム構成も。明確にするため
編集:あなたが<forms>要素を持っている場合は、しかし、
<httpCookies requireSSL="true" />
: は、次の要素を追加し、<system.web>素子で<system.web>
<httpCookies requireSSL="true" />
130
でこれを入れてブロックsystem.web\authenticationをブロックすると、の設定が上書きされます210に設定し、デフォルトのfalseに戻します。
この場合、requireSSL="true"属性もforms要素に追加する必要があります。
ですから、で終わるだろう:
<system.web>
<authentication mode="Forms">
<forms requireSSL="true">
<!-- forms content -->
</forms>
</authentication>
</system.web>
+2
マイナー編集(そこにauthノードが必要です。ウェブやフォーム):
+1
あなたは過乗って他のweb.configファイルの設定を避けることができます。
+0
さらに、 'roleManager'要素がある場合、その属性' cookieRequireSSL = "true" 'はtrueにも設定します。 Ref。 https://msdn.microsoft.com/en-us/library/system.web.security.roles.cookierequiressl(v=vs.110).aspx –
12
エンタープライズ環境でチェックインされたコードについて話していると、すばやく不愉快になります。我々は最善のアプローチは、以下のweb.Release.configが含まれて持つことであることを発見しました:
<system.web>
<compilation xdt:Transform="RemoveAttributes(debug)" />
<authentication>
<forms xdt:Transform="Replace" timeout="20" requireSSL="true" />
</authentication>
</system.web>
、開発者は影響を受けませんその方法(デバッグで実行されている)、及び取得唯一のサーバーはリリースビルドクッキーをSSLにする必要があります。
関連する問題
- 1. RestSharpセッションとASP.NETセッションでCookieコンテナを使用するにはどうすればよいですか?
- 2. Ruby on RailsのCookieにHttpOnlyフラグを設定するにはどうすればいいですか?
- 3. ASP.NET 2010でセッションCookieを削除するにはどうすればよいですか?
- 4. プロファイルページのセッションを設定するにはどうすればよいですか?
- 5. iframeにCookieを設定するにはどうすればよいですか? Facebook Cookieの仕組み
- 6. Playframework:特定のアクションでセッション/ Cookieを無効にするにはどうすればよいですか?
- 7. グローバルにアクセスできるようにcodeigniterセッションを設定するにはどうすればよいですか?
- 8. Magentoのオプションでis_requireフラグを動的に設定/解除するにはどうすればよいですか?
- 9. Visual Studio 2010でaspnet_compilerのフラグ/スイッチを設定するにはどうすればよいですか?
- 10. 複数のモジュールでBUILD_ONLYフラグを設定するにはどうすればよいですか?
- 11. ビルダー通知で進行中のフラグを設定するにはどうすればよいですか?
- 12. Pythonでリクエストを使用してCookieを設定するにはどうすればよいですか?
- 13. ASP.NET MVCビューでページタイトルを設定するにはどうすればよいですか? ASP.NET MVCのビューで
- 14. 2文字の国コードをemojisにフラグを設定するにはどうすればよいですか?
- 15. Dlib:ignoreフラグを1に設定してmmod_rectを初期化するにはどうすればよいですか?
- 16. NodeJSでCookieの有効期限を設定するにはどうすればよいですか?
- 17. ZopeとPloneでCookieを取得して設定するにはどうすればよいですか?
- 18. Laravel:1つの応答で複数のCookieを設定するにはどうすればよいですか?
- 19. JSESSIONIDで特定のセッションを設定するにはどうすればよいですか?
- 20. ノードjs APIを使用してブラウザにCookieを設定するにはどうすればよいですか?
- 21. Javaサーブレットでasp.netで作成されたCookieを取得するにはどうすればよいですか?
- 22. ASP.NETセッション内でTLSセッションIDにアクセスするにはどうすればよいですか? (BEAST Cookieの盗難を避けるため)
- 23. フォルダをパッケージとしてフラグを設定するにはどうすればよいですか?
- 24. ASP.NET IDのパスワードルールを設定するにはどうすればよいですか?私のASP.NETアプリケーションで
- 25. 利用可能なサブドメインCookieにアプリケーションを設定するにはどうすればよいですか?
- 26. mod_perlのセッションでCookieを使用するにはどうすればよいですか?
- 27. Spring Security:コンテキストパスと異なるRememberMe Cookie URLパスを設定するにはどうすればよいですか?
- 28. Pythonのurlopenを使用してCookieを設定するにはどうすればよいですか?
- 29. クライアントサイドからCookieセッションにアクセスするにはどうすればよいですか?
- 30. C#で「セッション」にクッキーの有効期限を設定するにはどうすればよいですか?
+1これは機能しました。ありがとう! – Alex
+1これを明確にするために、web.configに追加して、認証Cookieのセキュアフラグをtrueに設定する必要があります。
これは、サーバーレベル)構成。 「アプリケーションが安全なCookieを発行するように設定されていますが、ブラウザはSSL(httpsプロトコル)でリクエストを発行する必要がありますが、現在のリクエストはSSLではありません」というエラーが表示されます。これは、リバースプロキシが適切に設定されており、ブラウザがSSL経由で接続しているが、IISサーバーへのリバースプロキシがポート80を超えているために、アプリケーションでセキュリティが確保されていないと考えられたためです。 – mlhDev