問題タブ [cookie-httponly]

PCI 規制により、アプリケーションのほとんどの Cookie は安全で httponly である必要があります。Apache 構成ファイルの次の行でそれを達成しました。

ヘッダー編集 Set-Cookie ^(.*)$ $1;HttpOnly;Secure

ただし、これにより、単一の Cookie (foobar と呼びましょう) を javascript で読み取る必要があるアプリケーションの一部が壊れます。したがって、この Cookie のみの httponly を削除する必要があります。

mod_rewrite を含むいくつかのアプローチで遊んでみましたが、httponly を取得して Cookie を削除することはできません。Cookie などの値をリセットしたくないので、httponly の部分を削除するだけです。

例 ヘッダーは常に Set-Cookie ^(foobar=.*)$ $1 を編集します (動作しません)

サービススタックを使用して自己ホスト型の Windows HTTP サービスに取り組んでいます。呼び出し元のアプリケーションを認証するために基本認証 (ユーザー名/パスワード) を実装するように要求しています。これは私が現在使用しているコードで、正常に動作しています。

サービスからの応答ヘッダーを調べると、2 つの Cookie が含まれていることがはっきりとわかります。

セット Cookie: ss-id=dT8Yy6ejhgfjhgfkVvcxcxCNtngYRS4;path=/

セット Cookie: ss-pid=p4lsgo18JhYF4CTcxkhgkhgffRZob;path=/;expires=Fri, 09 Jan 2037 12:17:03 GMT

セキュリティ上の理由から、これらの Cookie に ;httpOnly フラグを追加するように ServiceStack を構成する必要がありますが、その方法が見つかりません。

みんな、それを行う方法を知っている人はいますか？どんなアイデアでも大歓迎です。

あなたの助けを前もってありがとう:)

多くの人がこの実装に同意しない可能性があることは知っていますが、トークンへの JavaScript アクセスを防ぐために、http 専用コンテナー内に jwt を格納しようとしています。ユーザーが認証されると、.NET アプリケーションは Identity Server から Jwt を取得します。次に、http のみの Cookie を作成し、その中に jwt を保存して、承認のために API に送信します。

この Cookie を API に送信する方法と、API を取得して Cookie 内の jwt にアクセスし、Identity Server を使用して認証する方法を知りたいと思いました (Identity Server のイントロスペクション エンドポイントを使用して、 jwt は有効です)。

現在、RestSharp を使用してアプリケーションからリクエストを送信しようとしています。

これは、API で jwt を認証するために使用しようとしているコードです。