注意:这不是与[RequireSSL]属性相关的ASP.NET MVC问题。那完全不同-只是名字相同。
ASP.NET Forms身份验证具有RequireSSL属性,该属性要求ASP.NET成员身份的身份验证cookie只能通过SSL发送。这是为了防止某人窃取Cookie(例如通过网络嗅探)并冒充用户。
因此,我想知道-MS对安全性进行了所有更改(例如将httpOnly cookies设置为默认值),为什么requireSSL没有默认设置为true?
cookie嗅探是否被认为是'neglibigle'安全风险?
除非连接实际上允许我访问安全/个人数据,否则将其保留为假是否被认为是可以接受的风险?如果不可接受,我应该如何让用户返回http并且仍然知道他们是谁?
为了防止表单认证Cookie被捕获和穿越时被篡改网络,请确保您将SSL与所有需要验证的页面访问和限制表格SSL通道的身份验证票证通过在页面上设置requireSSL =“ true”元素。
限制表单认证Cookie到SSL频道
在元素上设置requireSSL =“ true”,如以下代码所示。
通过设置requireSSL =“ true”,您可以设置安全的cookie属性确定浏览器是否应该将Cookie发送回服务器。设置安全属性后,Cookie仅由浏览器发送到使用要求的安全页面HTTPS URL。
注意:如果您使用无cookie会话中,您必须确保认证票证永远不会通过无担保的方式传输频道。