程序员经验分享-hwhale

为什么 FormsAuthentication 的 requireSSL 属性默认为 false!

2023-12-12

注意:这不是与 [RequireSSL] 属性相关的 ASP.NET MVC 问题。那是完全不同的——只是名字相同。

ASP.NET Forms 身份验证具有需要SSL属性要求 ASP.NET 成员资格的身份验证 cookie 只能通过 SSL 发送。这是为了防止有人窃取 cookie(例如通过网络嗅探)并冒充用户。

所以我想知道 - MS 所做的所有安全意识改变(例如httpOnly cookie默认)为什么是requireSSL不默认为true ?

Cookie 嗅探是否被视为“可忽略不计”的安全风险?

除非连接实际上允许我访问安全/个人数据,否则将其保留为 false 是否被认为是可接受的风险?如果这是不可接受的 - 我该如何将用户返回到 http 并且仍然知道他们是谁?

防止表单身份验证 cookie 被捕获和 穿越时被篡改 网络,确保您使用 SSL 所有需要验证的页面 访问和限制表单 SSL 通道的身份验证票证 通过设置 requireSSL="true" 元素。

限制表单身份验证 cookie 到 SSL 通道

在元素上设置 requireSSL="true", 如下面的代码所示。

通过设置 requireSSL="true",您可以设置 安全 cookie 属性 确定浏览器是否应该 将 cookie 发送回服务器。 设置安全属性后, 浏览器仅将 cookie 发送到 使用请求的安全页面 HTTPS URL。

注意:如果您使用的是 cookieless 会话时,您必须确保 身份验证票永远不会 通过不安全的方式传输 渠道。


因为如果您打开 SSL 证书,则需要 SSL 证书,而这些证书通常需要花钱才能获得。您还可以使用浏览器会话来控制非安全信息 - 在某些公共网站中,这可能正是您想要做的。在这种情况下,窃取他人会话 cookie 的人不会泄露任何敏感信息 - 那么为什么要花费成本和麻烦来购买和安装 SSL 证书呢?

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

security

cookies

aspnetmembership

requiressl

为什么 FormsAuthentication 的 requireSSL 属性默认为 false! 的相关文章

  • HTTP 基本身份验证 + 访问令牌?

    我正在开发一个 REST API 计划将其与 Web 和 IOS 应用程序一起使用 我打算让这个 API 在一段时间内保持私有 私有意味着我只希望我的 Web 应用程序和 ios 应用程序访问该 API 我已经阅读了许多不同的身份验证方法

  • Mysql加密/存储敏感数据,

    我的 PHP 网站有以下内容 启用 SSL 饼干 session set cookie params cookieParams lifetime cookieParams path cookieParams domain secure ht

  • Flex 和 crossdomain.xml

    我想知道将 crossdomain xml 添加到应用程序服务器的根目录是否存在任何安全问题 它可以添加到服务器的任何其他部分吗 您是否知道任何不需要服务器放置此文件的解决方法 谢谢 达米安 通过添加 crossdomain xml 主要的

  • 根据 AD 组成员身份限制对 WPF 视图的访问

    我们有一个 WPF 应用程序 我们希望根据用户的 AD 组成员身份限制对应用程序的访问 我们可以将其作为每个视图的属性 或者作为用户启动应用程序时的检查吗 任何代码示例将不胜感激 在 NET 3 5 及更高版本上执行此操作的最简单方法是使用

  • 为什么使用 mysql_real_escape_string,addslashes 不会阻止一切?

    我正在查看文档并偶然发现了 mysql real escape string 我不明白为什么当您可以只使用addslashes 时它很有用 有人可以向我展示一个场景来说明它为什么有用吗 我也很好奇为什么它需要数据库连接 这似乎是一个很大的开

  • “openssl 编程简介。”文章。过期的证书

    我是 openSSL 库和 PKI 的新手 我有一个简单的问题要问 openSSL 专家 有谁知道如何为本文中的代码示例创建证书 OpenSSL 编程简介 第一部分 第二部分 作者 Eric Rescorla www rtfm com op

  • 如何设置cookie值?

    我正在执行以下操作来设置 cookie 值 HttpCookie mycookie new HttpCookie mycookie mycookie Value value1 Case sensitivity mycookie Expire

  • 在 PHP 中,如何检测由于超出 max_input_vars 而导致输入变量被截断?

    我知道一个E WARNING由 PHP 生成 PHP 警告 未知 输入变量超过 1000 https stackoverflow com q 9673895 367456 但我如何在我的脚本中检测到这一点 一个 足够接近 的方法是检查if

  • Delphi 应用程序被 Google Chrome 视为“危险”

    我经常用Delphi 2009制作数学软件 并将其发布在我的网站上 然而 去年左右 Google Chrome 开始认为我的一小部分 但数量不断增加 EXE 是 有害的 并且 Google Chrome 拒绝下载它们 例如 今天我编写了一个

  • 在 React 应用程序中使用 API 密钥

    我有一个使用两个第三方服务的 React 应用程序 该应用程序已开始使用react create app 这两项服务都需要 API 密钥 通过脚本标签提供一个密钥 如下所示 另一个 API 密钥在请求中使用 我将实际密钥存储在常量中并使用它

  • 在 JAX-WS 中使用安全性的最佳实践是什么

    这是场景 我有一些需要保护的 Web 服务 JAX WS 目前 为了身份验证需求 我提供了额外的 SecurityWService 它为授权用户提供了一些需要在请求其他服务时描述的 userid 和 sessionid 使用一些java安全

  • JWT(Json Web 令牌)与自定义令牌

    我仔细查看了问题 但没有找到任何可以解决我的疑问的内容 我找到了有关 JWT 的大量信息 但在比较 JWT 相对于针对 REST 服务生成自定义令牌来对身份验证请求提供的优势时 发现的信息并不多 与生成自定义生成令牌相比 使用 JWT Js

  • 有人试图破解我的服务器吗?请告诉我我能做什么? [关闭]

    Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案 我在我的服务器日志文件中找到了这些请求 我在亚马逊EC2上使用nodejs manager html manager html manag

  • 如何保护Web应用程序免受cookie窃取攻击?

    我的网络应用程序的身份验证机制目前非常简单 当用户登录时 网站会发回一个存储的会话 cookie 使用localStorage 在用户的浏览器上 但是 此 cookie 很容易被窃取并用于从另一台计算机重播会话 我注意到其他网站 例如 Gm

  • JWT在浏览器中存储在哪里?如何防范CSRF?

    我知道基于 cookie 的身份验证 可以应用 SSL 和 HttpOnly 标志来保护基于 cookie 的身份验证免受 MITM 和 XSS 的影响 然而 需要采取更多特殊措施来保护其免受 CSRF 的影响 它们只是有点复杂 参考 ht

  • Phonegap 上基于 Cookie 的身份验证

    我面临基于phonegap cookie的身份验证的问题 在我强制iPhone关闭我的应用程序 双击物理按钮并关闭 后 我丢失了与服务器建立的cookie 我怎样才能避免它 有什么配置吗 或者有替代方法吗 当我第一次运行它时它工作正常 当我

  • 设计良好且安全的 Web 应用程序示例

    大多数人都会意识到OWASP WebGoat http www owasp org index php Category OWASP WebGoat Project或 Foundstone 的哈克姆图书 http www foundston

  • 保护 ASP.NET MVC 应用程序中的 ajax 调用的安全

    我有一个基于 ASP NET MVC 的应用程序 它允许根据用户进行不同级别的访问 当前的工作方式是 当用户访问页面时 会根据数据库进行检查以确定用户拥有的权限 然后根据用户拥有的访问级别选择视图 有些用户比其他用户看到更多数据并拥有更多可

  • OpenJDK 版本控制

    上下文 我想确保我们系统上安装的 Java 不受 CVE 2022 21449 的影响 java version 给出 openjdk version 11 0 7 2020 04 14 LTS OpenJDK Runtime Enviro

  • 你能给我一个会话固定攻击的例子吗?

    我读过有关会话固定的内容 据我了解 它强制用户使用攻击者的会话 它是否正确 你能举个例子来说明这会如何冒犯用户吗 我通常不喜欢发布维基百科的链接 但这里有一个链接维基百科上有很好的解释 http en wikipedia org wiki

随机推荐

  • 在容器视图中快速访问和更新tableview

    这有点令人困惑 但我会尽力解释 我有一个带有容器视图的视图控制器 容器视图中是一个表视图 我想从主视图控制器更新表视图 例如 表视图将包含名称列表 当用户在文本字段中输入名称时 表视图将更新以查找与用户输入的内容相匹配的名称 主要问题是 如

  • 复制粘贴 Powershell Excel 保留格式

    我正在尝试自动化复制和粘贴数据的过程 但保持单元格的格式相同对我来说很重要 我尝试过使用PasteSpecial 4163 但这并没有奏效 奇怪的是 它把一些值变成粗体 而其他值则变成非粗体 这是我创建的用于执行复制和粘贴的函数 有人有什么

  • Xcode 6 iOS 创建 Cocoa Touch 框架 - 架构问题

    我正在尝试为 iOS 应用程序制作一个动态框架 感谢新版本的 Xcode 6 我们在创建新项目时可以选择 Cocoa Touch 框架 而不再需要添加聚合目标 运行脚本等来创建一个项目 我构建框架时没有任何问题 但是当我尝试在 iOS 应用

  • 如何将 Crypto++ 库添加到 Qt 项目

    我下载了 Crypto 源代码并在 Visual Studio 2013 中编译了 cryptlib 项目 然后将生成的 lib 文件添加到我的 Qt 项目中 这使得我的 pro 文件如下所示 QT core gui QT sql grea

  • 使用模板在 MVC 应用程序中进行 AngularJS 路由

    我有 3 个 MVC 控制器 仪表板 默认仪表板 Customer 员工 对于每个视图 只有 索引 操作才可用于 索引 视图 在布局中 我有一个包含 3 个条目的简单菜单 仪表板 客户 和 雇员 Html ActionLink Dashbo

  • 如何在 Palantir Foundry Workshop 中创建累积和图?

    我有一些代表维护作业的对象 每个对象都有一个如下所示的时间列 Due On 2021 12 01 2022 06 17 2022 07 05 2022 07 05 2022 08 01 2023 09 02 如何在 Palantir Fou

  • 将 SVG 嵌入到 ReactJS 中

    是否可以将 SVG 标记嵌入到 ReactJS 组件中 render function return span span

  • HashMap 执行 containsKey 的方式未按预期运行

    今天我在做一些寻路时不得不使用contains 查找是否有一个类Coord在另一个keySet of Coord 我发现当我使用预制方法时containsKey 它根本没有按照我想要的方式工作 我做了一个测试来找出发生了什么 结果如下 Ha

  • 在 Tensorflow 中使用大型数据集

    我想用大数据集训练 CNN 目前 我将所有数据加载到 tf constant 中 然后在 tf Session 中使用小批量大小循环遍历它 这对于数据集的一小部分来说效果很好 但是当我增加输入大小时 我收到错误 ValueError Can

  • Jenkins Pipelines:为什么 CPS Global Lib 未加载?

    我正在按照教程管道库插件 我创建了一个包含以下文件的存储库 D Test groovy src vars helloWorld groovy helloWorld groovy 包含 def call name echo Hello wor

  • PHP 需要递归反转数组

    我需要递归地反转一个具有许多级别子数组的巨大数组 并且我需要保留所有键 其中一些是 int 键 一些是 string 键 有人可以帮助我吗 也许有一个使用 array reverse 的例子 另外 使用 array reverse 是执行此

  • 如何用PHP构建n层Web架构?

    我正在处理 3 层架构的 PHP 网站 现在我需要重新设计它以支持分布式 n 层架构 经过长时间的研究 我得出了这个解决方案 业务逻辑应该分为表示层和纯业务逻辑层 以允许 n 层架构 用户界面 表示层 b 逻辑和数据层 我决定仅使用 进行演

  • SoftConsole 4.0“错误指令”汇编器

    使用 MicroSemi SoftConsole 4 0 尝试编译并运行 FreeRTOS 演示项目 我遇到了错误 错误指令 每行代码 基本上 由于某种原因 整个文件没有被组装 我的控制台如下所示 Building file FreeRTO

  • Clojure:从映射创建记录时确保数据完整性?

    我正在学习 Clojure 并享受它 但发现 Records 中的不一致让我困惑 为什么默认映射构造函数 map gt Whatever 在创建新记录时不检查数据完整性 例如 user gt defrecord Person first n

  • 为什么Powershell要组合数组的数组?

    我在 Powershell 脚本中使用数组的数组 但是 有时 我的数组的数组实际上只包含一个数组 由于某种原因 Powershell 不断用一个数组替换包含一个数组的数组 我不明白 我以前使用过的其他脚本 编码语言都没有这样做过 例如 这是

  • Android API 23 删除的包

    org apache http 的最佳替代品是什么 因为他们在 Android API Differences Report 中这么说 删除了 API 23 中的软件包 org apache commons logging org apac

  • 在 Visual Studio Code 中是否有在同一组内移动选项卡的快捷方式?

    我无法找到将活动选项卡移动到同一组内 而不是移动到其他组中 的快捷方式 这将允许更改该组中选项卡的顺序 Move Editor Left Ctrl Shift PageUp Move Editor Right Ctrl Shift Page

  • 安卓屏幕分辨率

    我正在开发一个分辨率为 320x240 的 Android 应用程序 我想使用同一个应用程序来获得更高的分辨率是否可能 或者我必须为每个分辨率设计 UI 按照此链接中的指南 缩放您的应用程序以支持不同的屏幕分辨率 http develope

  • Keras减肥

    我的模型有两个输出层 年龄和性别预测层 我想为每个输出层的损失分配不同的权重值 我有以下代码行来执行此操作 model compile loss losses mean squared error losses categorical cr

  • 为什么 FormsAuthentication 的 requireSSL 属性默认为 false!

    注意 这不是与 RequireSSL 属性相关的 ASP NET MVC 问题 那是完全不同的 只是名字相同 ASP NET Forms 身份验证具有需要SSL属性要求 ASP NET 成员资格的身份验证 cookie 只能通过 SSL 发

热门标签