1

web.configタグを使用して、WSS3.0フォーム認証アプリケーションでhttpOnlyCookieを有効にしようとしました。Cenzic Hailstormセキュリティスキャンレポートは、フラグがオフの状態でCookieが生成されていると主張しています。これには、.ASPXAUTH Cookie、Discovery.asmxに関連するCookie、およびWSS_AccessibiltyFeatureに関連するCookieが含まれます。これが私の質問です:

  1. スキャンが間違っている可能性がある方法はありますか?
  2. クッキーがどのように作成されるかについて私が理解していないことがありますか?これらはhttpOnlyフラグから免除されますか?
  3. CookieがhttpOnlyとして出力されていることを確認する方法はありますか?Fiddler用のWatcherアドオンを知っていますが、それを機能させることができませんでした(開発者と連絡を取り合っています)。確かに、クッキーを調べることができる何か他のものがあります。
4

1 に答える 1

2

実際には、Fiddlerを使用してHTTPリクエストのRawソースを確認できます。これで、httpOnlyCookieについて説明する必要があります。

詳細については、http: //www.codinghorror.com/blog/archives/001167.htmlをご覧ください。

于 2009-11-09T23:07:02.797 に答える