与 /_vti_bin/Discovery.asmx 相关的 cookie 是什么，为什么我不能设置其 Secure 属性？

Question

我有一个使用表单身份验证的 WSS 3.0 站点。除了我的身份验证 cookie，我还得到一个包含如下数据的 cookie：

2FDiscovery=WorkspaceSiteName=aHR0cDovL3d3dy5rZWxldi5iaXo=&WorkspaceSiteUrl= aHR0cHM6Ly9zdGFnaW5nLWluc2lnaHQubmNqcnMuZ292&WorkspaceSiteTime=MjAwOS 0xMi0xMFQxNDo1ODoxMQ==;路径=/_vti_bin/Discovery.asmx；

此 cookie 没有设置 Secure 属性，即使我的 web.config 中有 requireSSL="true" 并且其他 cookie 具有该属性。

我不知道这个 cookie 是源自 WSS 还是一般的表单身份验证。

有谁知道 cookie 的作用（或 /_vti_bin/Discovery.asmx 的作用，就此而言）以及为什么似乎没有从 web.config 中获取该属性？

Answer 1

cookie 的内容（WorkspaceSiteName、WorkspaceSiteUrl、WorkspaceSiteTime）表明 MS Office 使用它来记住最近使用的 SharePoint 工作区，以便在您希望将文档保存在例如 MS Word。我还没有验证这一点。根据我的经验，cookie 的持续时间为 30 天，这意味着 MS Office 会记住您在过去 30 天内访问过的工作区。

关于您在web.config 中的requireSSL=true 条目未被拾取，您将条目放在web.config 的哪个位置？您网站根目录下的web.config（在c:\inetpub\wwwroot\wss\virtualdirectories\<sitename> 文件夹中）是错误的web.config！ _vti_bin 在 IIS 中配置为虚拟目录，并映射到物理路径 C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\isapi。在那个位置有一个单独的web.config。

Answer 2

当搜索 Discovery.asmx 时，我得到的唯一线索是 WIndows Live ID 使用了该服务。显然，即使 Live ID 不是该网站上使用的实际身份验证提供程序，它也处于活动状态。

您可以尝试直接使用 IIS 阻止对该服务的访问吗？只需打开 IIS 管理器并找到该服务。然后阻止所有外部访问它。不过不确定有什么可能性（禁用所有身份验证，或向其添加重定向到 404 页面规则...）

附：不过，请确保它不会首先造成实际的安全漏洞/威胁。