Cách đảm bảo mã thông báo .ASPXAUTH

Question

Làm cách nào bạn bảo mật mã thông báo .ASPXAUTH để mã được gửi qua SSL.

Answer 1

Trực tiếp từ msdn docs:

Để ngăn chặn cookie hình thức xác thực không bị bắt và giả mạo khi băng qua mạng, đảm bảo rằng bạn sử dụng SSL với tất cả các trang yêu cầu xác nhận truy cập và hạn chế hình thức vé xác thực sang các kênh SSL bằng cách đặt requireSSL="true" trên yếu tố <forms>.

Để hạn chế hình thức cookie xác thực để các kênh SSL thiết requireSSL="true" trên các yếu tố <forms>, như trong đoạn mã sau:

<forms loginUrl="Secure\Login.aspx" requireSSL="true" ... />

Bằng cách đặt requireSSL="true", bạn thiết lập thuộc tính Cookie an toàn mà sẽ xác định xem các trình duyệt nên gửi cookie trở lại máy chủ . Với bộ thuộc tính bảo mật, cookie chỉ được gửi bởi trình duyệt chỉ đến trang bảo mật được yêu cầu bằng URL HTTPS.

Lưu ý: rằng khi sử dụng requireSSL="true", cookie auth chỉ gửi cho các trang yêu cầu qua SSL. Vì vậy, nếu bạn nhấn một trang thông qua HTTP (không phải SSL), nó có thể xuất hiện mà bạn không đăng nhập. Bài viết này nói về vấn đề và đề xuất một giải pháp vì nó sẽ liên quan đến một trang SharePoint (nhưng lý thuyết có thể chuyển nhượng): Securing the authentication cookie for mixed SSL SharePoint sites