私はサーフィンしていて、記事Preventing CSRF with the same-site cookie attributeを見つけました。同じサイトクッキー属性を持つCSRFの防止
リンク維持時Set-Cookieヘッダーを追加する必要があります。
Set-Cookie:key = value; HttpOnly; SameSite = strict
私の質問は、ASP.NETサイトですべてのCookieと認証Cookieに設定したいと思っています。 IISのヘッダーを使ってこれを設定しようとしましたが、誰かがこれが間違った方法で実装されていると言います。
以下も試しました。
HttpCookie newAuthenticationCookie = new HttpCookie(FormsAuthentication.FormsCookieName
, FormsAuthentication.Encrypt(newAuthenticationTicket))
{
HttpOnly = true
};
newAuthenticationCookie.Values.Add("SameSite", "strict");
しかし、それは私を助けてくれないようです。
これを行うにはもっと良い方法を提案してください。
ありがとうございました。
https://twitter.com/blowdart/status/918140614167879680 それが入ってきます.net sooooon –
これはコードで実行できます。チェックアウトhttps://stackoverflow.com/a/48829569/4079967 –