Comment configurer httpOnlyCookies dans ASP.NET?

Inspiré par cette CodingHorror article, "La Protection De Vos Cookies: HttpOnly"

Comment vous définissez cette propriété? Quelque part dans le site web de config?

InformationsquelleAutor Teller | 2008-08-28
  1. 64

    Si vous êtes en utilisant ASP.NET 2.0 ou supérieure, vous pouvez l'activer dans le Web.fichier de configuration. Dans le <système.web> section, ajoutez la ligne suivante:

    <httpCookies httpOnlyCookies="true"/>
    • Cela ne fonctionne pas pour moi. J'ai essayé le "<httpCookies httpOnlyCookies="true" requireSSL="true"/>" et aucun travaux de paramètres.
    • J'ai le même problème. Avez-vous trouvé une solution ou cause?
    • Oui je l'ai fait dans le code. Cochez les réponses ci-dessous.
    InformationsquelleAutor Corey McKinnon
  2. 10

    Avec les accessoires de Rick (deuxième commentaire dans le blog mentionné), voici le Article MSDN sur httpOnlyCookies.

    Ligne de fond est que vous venez d'ajouter l'article suivant dans votre système.section du site web dans votre site web.config:

    <httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />
    • En passant, ne fait pas de domaine d'utilisation="String" - soit définir un domaine de validité ou de quitter cet attribut out.
    • ce qui peut provoquer cet élément pour être verrouillé? quand je l'ai mis dans mon web.fichier de configuration, j'obtiens l'erreur suivante: "l'élément httpcookies a été bloqué dans un niveau plus élevé de configuration"
    • Vous pouvez vérifier votre machine.fichier de configuration sur le serveur lui-même pour voir si cela a un paramètre qui a verrouillé les choses.
    InformationsquelleAutor Dillie-O
  3. 8

    Si vous voulez le faire dans le code, utilisez la Système.Web.HttpCookie.HttpOnly propriété.

    C'est directement à partir de MSDN docs:

    //Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
//By default, the HttpOnly property is set to false 
//unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
//Show the name of the cookie.
Response.Write(myHttpCookie.Name);
//Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
//Setting the HttpOnly value to true, makes
//this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
//Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);

    De le faire dans le code vous permet de choisir les cookies HttpOnly sont-ils et qui ne le sont pas.

    • la page qui n'a u écrire ce code ? global.asax ?
    InformationsquelleAutor Portman
  4. 3

    Il est intéressant de mettre <httpCookies httpOnlyCookies="false"/> ne semble pas désactiver httpOnlyCookies dans ASP.NET 2.0. Voir cet article sur SessionID et des Problèmes de Connexion Avec l'ASP .NET 2.0.

    Ressemble, Microsoft a pris la décision de ne pas vous permettre de le désactiver à partir du web.config. Cochez cette post sur forums.asp.net

    InformationsquelleAutor Matthew Lock