サーバーの応答では、次の行を .xml 内に配置して、すべての Cookie に「安全な」フラグを追加していますweb.config。
<system.web>
<httpCookies requireSSL="true" />
</system.web>
ASP.NET_SessionId Cookie が応答で「安全な」フラグを示すため、これは機能しているようです。
ただし、ページでアクションを実行し、開発ツールを再度確認すると、まったく同じ Cookie がクライアント要求で「安全な」フラグを持っていないことに気付きました。
Internet Explorer 11 開発者ツールを使用してネットワークを表示しています。
セッション Cookie には、クライアントの要求に「セキュア」フラグを含める必要がありますか? そうでない場合、「安全でない」リクエスト Cookie を持つことによるセキュリティへの影響はありますか?
しばらく調べてみたところ、Cookie または Cookie の「安全な」フラグを変更しているコードがアプリケーションに見つかりませんでした。この問題に関する情報をいただければ幸いです。