1
ASP.NET 웹 응용 프로그램에서 아래 항목을 추가하여 ASP.NET_SessionID 및 .ASPXAUTH 쿠키 보안을 설정하기 위해 아래 변경을했습니다.서버에서받은 쿠키는 안전하지만 서버에 보내는 쿠키가 안전하지 않습니다. ASP.NET
<httpCookies httpOnlyCookies="true" requireSSL="true" />
web.config 반면 및 아래의 태그를 추가하는
<forms requireSSL ="true" />
하지만 내 문제가 여기에 서버로부터받은 쿠키 (네트워크 -> Cookies-> 방향 열받은의 값이)이다 Secure 및 HttpOonly 플래그가 true로 설정되어 있습니다. IE 11 개발자 도구를 사용하여 디버깅 할 때 정보를 찾았지 만 서버 (네트워크 -> 쿠키 -> 방향 열에 보낸 값이 있음)로 전송 된 쿠키 데이터에는 Secure 또는 HttpOnly 플래그가 true로 설정되어 있지 않습니다.
기본 동작입니까? 그렇다면 왜 서버에 전송 된 데이터에 Secure 및 HttpOnly 플래그가 설정되어 있지 않은 것입니까? 위의 설정 파일에 대한 변경 사항 이외의 설정 방법.
답장을 보내 주셔서 감사합니다. @CB 해킹. 하지만 질문이 하나 더 있는데, 아래의 '$ .cookie ('Name ','Value ', {path :'/ ', secure : true});와 같이 Secure 키워드를 사용하여 Jquery 쿠키를 만들었습니다. 따라서 http 프로토콜을 사용하여 쿠키에 액세스하려고하면 쿠키가 존재하지 않습니다. 쿠키가 안전하다고 보입니까? – Rajesh
예, JavaScript를 사용하여 쿠키를 만들 수도 있고 서버에서 설정 한 경우처럼 보안과 같은 옵션을 포함하여 쿠키의 매개 변수를 제어 할 수도 있습니다. 앞에서 설명한 동일한 테스트 - 서버에 대한 트래픽을 확인합니다. HTTPS는 보안 쿠키가 있어야하지만 HTTP는 그렇지 않아야합니다. - 서버가 쿠키를 설정했는지 또는 스크립트가 설정했는지에 관계없이 작동합니다. – CBHacking
귀하의 제안에 따라 자바 스크립트를 사용하여 설정된 쿠키에 대해 피들러를 사용하여 사이트의 트래픽을 확인했지만 안전한 쿠키 집합은 없습니다. 또한 나는 당신의 요점을 알지 못했습니다 - 서버가 쿠키를 설정했는지 또는 스크립트가했는지는 작동합니다. _이탤릭체_. 그 죄송합니다. 그 라인을 간략하게 설명해 주시겠습니까? – Rajesh