【发布时间】:2012-06-11 13:27:58
【问题描述】:
如何保护 .ASPXAUTH 令牌以便通过 SSL 发送。
【问题讨论】:
如何保护 .ASPXAUTH 令牌以便通过 SSL 发送。
【问题讨论】:
直接来自msdn docs:
为了防止表单身份验证 cookie 被捕获并 在穿越网络时被篡改,请确保您使用 SSL 与 所有需要经过身份验证的访问和限制表单的页面 通过设置
requireSSL="true"对 SSL 通道进行身份验证票证<forms>元素。要将表单身份验证 cookie 限制为 SSL 通道,请在
<forms>元素上设置requireSSL="true",如以下代码所示:
<forms loginUrl="Secure\Login.aspx" requireSSL="true" ... />通过设置
requireSSL="true",您可以设置确定浏览器是否应将 cookie 发送回 服务器。设置了安全属性后,cookie 由 浏览器只能访问使用 HTTPS URL 请求的安全页面。
注意:当使用requireSSL="true" 时,auth cookie 仅针对通过 SSL 请求的页面发送。因此,如果您通过 HTTP(非 SSL)访问页面,您可能看起来没有登录。本文讨论了该问题并提出了与 SharePoint 网站相关的解决方案(但理论是可转移的): Securing the authentication cookie for mixed SSL SharePoint sites
【讨论】: