Bạn định cấu hình chính xác httpOnlyCookies trong ASP.NET như thế nào?

Question

Lấy cảm hứng từ bài viết CodingHorror này, "Protecting Your Cookies: HttpOnly"

Làm cách nào để bạn đặt thuộc tính này? Một nơi nào đó trong cấu hình web?

Answer 1

Nếu bạn đang sử dụng ASP.NET 2.0 hoặc cao hơn, bạn có thể bật tính năng này trong tệp Web.config. Trong <system.web> phần, thêm dòng sau:

<httpCookies httpOnlyCookies="true"/> 

Answer 2

Với đạo cụ cho Rick (bình luận thứ hai trong bài đăng trên blog được đề cập), đây là số MSDN article trên httpOnlyCookies.

Điểm mấu chốt là bạn chỉ cần thêm phần sau trong phần system.web của bạn trong web.config của bạn:

<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" /> 

Answer 3

Nếu bạn muốn làm điều đó trong mã, sử dụng System.Web.HttpCookie.HttpOnly tài sản.

Đây là trực tiếp từ các tài liệu MSDN:

// Create a new HttpCookie. 
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString()); 
// By default, the HttpOnly property is set to false 
// unless specified otherwise in configuration. 
myHttpCookie.Name = "MyHttpCookie"; 
Response.AppendCookie(myHttpCookie); 
// Show the name of the cookie. 
Response.Write(myHttpCookie.Name); 
// Create an HttpOnly cookie. 
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString()); 
// Setting the HttpOnly value to true, makes 
// this cookie accessible only to ASP.NET. 
myHttpOnlyCookie.HttpOnly = true; 
myHttpOnlyCookie.Name = "MyHttpOnlyCookie"; 
Response.AppendCookie(myHttpOnlyCookie); 
// Show the name of the HttpOnly cookie. 
Response.Write(myHttpOnlyCookie.Name); 

Làm nó trong mã cho phép bạn chọn lọc chọn cookie là HttpOnly và không.

Answer 4

Thật thú vị khi đặt <httpCookies httpOnlyCookies="false"/> dường như không tắt httpOnlyCookies trong ASP.NET 2.0. Kiểm tra bài viết này về SessionID and Login Problems With ASP .NET 2.0.

Có vẻ như Microsoft đã quyết định không cho phép bạn tắt tính năng này khỏi web.config. Kiểm tra điều này post on forums.asp.net