103
ASP.NETセッションCookieにSecureフラグを設定すると、HTTPS経由でのみ送信され、プレーンなHTTP経由では送信されません。ASP.NETセッションCookieでSecureフラグを設定するにはどうすればよいですか?
A
答えて
82
2つの方法があり、web.config内の1つのhttpCookies要素のみだけでも内部のフォーム認証SSLでセッションを含むすべてのクッキーを送信しているあなたはrequireSSLをオンにすることができますが、あなたはhttpcookiesにSSLをオンにした場合、あなたはまた、それをオンにする必要があります内部フォーム構成も。明確にするため
編集:あなたが<forms>要素を持っている場合は、しかし、
<httpCookies requireSSL="true" />
: は、次の要素を追加し、<system.web>素子で<system.web>
<httpCookies requireSSL="true" />
130
でこれを入れてブロックsystem.web\authenticationをブロックすると、の設定が上書きされます210に設定し、デフォルトのfalseに戻します。
この場合、requireSSL="true"属性もforms要素に追加する必要があります。
ですから、で終わるだろう:
<system.web>
<authentication mode="Forms">
<forms requireSSL="true">
<!-- forms content -->
</forms>
</authentication>
</system.web>
+2
マイナー編集(そこにauthノードが必要です。ウェブやフォーム):
+1
あなたは過乗って他のweb.configファイルの設定を避けることができます。
+0
さらに、 'roleManager'要素がある場合、その属性' cookieRequireSSL = "true" 'はtrueにも設定します。 Ref。 https://msdn.microsoft.com/en-us/library/system.web.security.roles.cookierequiressl(v=vs.110).aspx –
12
エンタープライズ環境でチェックインされたコードについて話していると、すばやく不愉快になります。我々は最善のアプローチは、以下のweb.Release.configが含まれて持つことであることを発見しました:
<system.web>
<compilation xdt:Transform="RemoveAttributes(debug)" />
<authentication>
<forms xdt:Transform="Replace" timeout="20" requireSSL="true" />
</authentication>
</system.web>
、開発者は影響を受けませんその方法(デバッグで実行されている)、及び取得唯一のサーバーはリリースビルドクッキーをSSLにする必要があります。
関連する問題
- 1. RestSharpセッションとASP.NETセッションでCookieコンテナを使用するにはどうすればよいですか?
- 2. Ruby on RailsのCookieにHttpOnlyフラグを設定するにはどうすればいいですか?
- 3. ASP.NET 2010でセッションCookieを削除するにはどうすればよいですか?
- 4. iframeにCookieを設定するにはどうすればよいですか? Facebook Cookieの仕組み
- 5. Playframework:特定のアクションでセッション/ Cookieを無効にするにはどうすればよいですか?
- 6. グローバルにアクセスできるようにcodeigniterセッションを設定するにはどうすればよいですか?
- 7. Magentoのオプションでis_requireフラグを動的に設定/解除するにはどうすればよいですか?
- 8. Visual Studio 2010でaspnet_compilerのフラグ/スイッチを設定するにはどうすればよいですか?
- 9. ZopeとPloneでCookieを取得して設定するにはどうすればよいですか?
- 10. NodeJSでCookieの有効期限を設定するにはどうすればよいですか?
- 11. フォルダをパッケージとしてフラグを設定するにはどうすればよいですか?
- 12. ASP.NET MVCビューでページタイトルを設定するにはどうすればよいですか? ASP.NET MVCのビューで
- 13. Pythonのurlopenを使用してCookieを設定するにはどうすればよいですか?
- 14. Javaサーブレットでasp.netで作成されたCookieを取得するにはどうすればよいですか?
- 15. mod_perlのセッションでCookieを使用するにはどうすればよいですか?
- 16. ASP.NET IDのパスワードルールを設定するにはどうすればよいですか?私のASP.NETアプリケーションで
- 17. ASP.NETセッション内でTLSセッションIDにアクセスするにはどうすればよいですか? (BEAST Cookieの盗難を避けるため)
- 18. C#で「セッション」にクッキーの有効期限を設定するにはどうすればよいですか?
- 19. PHPセッションでCookieが設定されていますか?
- 20. SWI-Prologフラグをオフにするにはどうすればよいですか?
- 21. フラグをfalseにリセットするにはどうすればよいですか?
- 22. Express 4-セッションで追加のカスタムCookieを設定するにはどうすればよいですか?読んでから
- 23. jboss-seamでhibernateセッションのタイムアウトを設定するにはどうすればよいですか?
- 24. jqueryでセッションの値を設定するにはどうすればよいですか?
- 25. カピバラでセッション値を設定するにはどうすればよいですか?
- 26. このセッションCookieを削除するにはどうすればよいですか?
- 27. スマートテンプレートページからセッションを設定するにはどうすればよいですか?
- 28. セッション変数の名前を動的に設定するにはどうすればよいですか?
- 29. セッションとログインシステムにpyramid_beakerを設定するにはどうすればよいですか?
- 30. AS3でレンダーエリアを設定するにはどうすればよいですか?
+1これは機能しました。ありがとう! – Alex
+1これを明確にするために、web.configに追加して、認証Cookieのセキュアフラグをtrueに設定する必要があります。
これは、サーバーレベル)構成。 「アプリケーションが安全なCookieを発行するように設定されていますが、ブラウザはSSL(httpsプロトコル)でリクエストを発行する必要がありますが、現在のリクエストはSSLではありません」というエラーが表示されます。これは、リバースプロキシが適切に設定されており、ブラウザがSSL経由で接続しているが、IISサーバーへのリバースプロキシがポート80を超えているために、アプリケーションでセキュリティが確保されていないと考えられたためです。 – mlhDev