如何添加到 Azure 会话 Cookie HttpOnly 和 Secure 属性答案

【问题标题】：How to add to Azure Session Cookies HttpOnly and Secure attributes如何添加到 Azure 会话 Cookie HttpOnly 和 Secure 属性
【发布时间】：2013-07-19 00:26:04
【问题描述】：

在我的 ASP.NET MVC 4 应用程序中，我使用了第三方服务。该服务的使用条款之一是向所有会话 cookie 添加 HttpOnly 和 Secure 属性。

网站托管在 Windows Azure 上并使用 SSL。

我在 root web.config 中添加了以下设置：

<httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/>

<authentication mode="Forms">
    <forms loginUrl="~" timeout="2880" requireSSL="true" />
</authentication>

所以现在我的应用程序会话 cookie“.ASPXAUTH”具有 HttpOnly 和 Secure 属性。

但主要问题是 Azure 平衡器“WAWebSiteSID”和“ARRAffinity”cookie 没有此属性。

您能帮我找到合适的解决方案来为它们添加缺失的属性吗？

【问题讨论】：

标签： asp.net-mvc azure session-cookies

【解决方案1】：

我不相信您可以修改安全和 HttpOnly 属性，因为 cookie 被添加到应用下游的响应中（即通过位于站点前面的负载平衡设备）。

当然，务实的问题是“为什么”？如果不允许客户端脚本或网络上的中间人访问这些 cookie，您将获得什么好处？它们只不过是旨在将客户端与站点实例联系起来的数据字节，不包含任何个人性质，也不为攻击者提供任何可以想象的好处（至少我无法想到）。

答案可能是“因为它让安全扫描工具保持愉快”，这可能会让您感到温暖和模糊，但当然它实际上并没有改变站点的实际安全位置。

【讨论】：

" 但它当然不会真正改变站点一的实际安全位置。"你能详细说明为什么不这样做吗？我明白，但不是每个人都明白。
它让你看起来不像是潜在攻击者的目标。
@Troy 如果它不会改变实际的安全位置，那么我建议您在 Asafaweb 上对此进行注释，因为您的工具的用户会看到警告并自然认为应该存在问题解决。
现在，让我们换个角度看看，如果这些cookies 只被做成http 会发生什么坏事？他们不会被站点分析 sn-p 跟踪？还是什么？

【解决方案2】：

自 2017 年 6 月 24 日起，这种情况正在发生变化，ARRAffinity cookie 将在未来设置为带有 HttpOnly 标志。 https://github.com/Azure/app-service-announcements/issues/12

【讨论】：