注意:这不是与 [RequireSSL] 属性相关的 ASP.NET MVC 问题。那是完全不同的——只是名字相同。
ASP.NET Forms 身份验证具有需要SSL属性要求 ASP.NET 成员资格的身份验证 cookie 只能通过 SSL 发送。这是为了防止有人窃取 cookie(例如通过网络嗅探)并冒充用户。
所以我想知道 - MS 所做的所有安全意识改变(例如httpOnly cookie默认)为什么是requireSSL
不默认为true
?
Cookie 嗅探是否被视为“可忽略不计”的安全风险?
除非连接实际上允许我访问安全/个人数据,否则将其保留为 false 是否被认为是可接受的风险?如果这是不可接受的 - 我该如何将用户返回到 http 并且仍然知道他们是谁?
防止表单身份验证
cookie 被捕获和
穿越时被篡改
网络,确保您使用 SSL
所有需要验证的页面
访问和限制表单
SSL 通道的身份验证票证
通过设置 requireSSL="true"
元素。
限制表单身份验证
cookie 到 SSL 通道
在元素上设置 requireSSL="true",
如下面的代码所示。
通过设置 requireSSL="true",您可以设置
安全 cookie 属性
确定浏览器是否应该
将 cookie 发送回服务器。
设置安全属性后,
浏览器仅将 cookie 发送到
使用请求的安全页面
HTTPS URL。
注意:如果您使用的是 cookieless
会话时,您必须确保
身份验证票永远不会
通过不安全的方式传输
渠道。
因为如果您打开 SSL 证书,则需要 SSL 证书,而这些证书通常需要花钱才能获得。您还可以使用浏览器会话来控制非安全信息 - 在某些公共网站中,这可能正是您想要做的。在这种情况下,窃取他人会话 cookie 的人不会泄露任何敏感信息 - 那么为什么要花费成本和麻烦来购买和安装 SSL 证书呢?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)