問題タブ [cookieless]

私は asp.net (4.0) Web サイトに取り組んでいます。フォーム認証（）を使用しようとしていました。明らかに、いくつかのページを安全にしようとしています。セキュリティの最善の解決策は、cookieless="UseCookies" を設定して、ID を URL に書き込まないようにすることです。

私の質問は、cookieless="UseCookies" を使用すると正確に何が起こるかです。

1. セッションが作成され、一部の ID がブラウザに保存されますか (~後で IIS サーバー側セッション「Cookie」から情報を取得するために使用されるメモリ)、それとも「通常の」クライアント側暗号化 Cookie を作成するのは実際には配偶者ですか?

(私は明らかに、URL とクライアント側の Cookie への書き込みを回避しようとしています - すべてを回避できるかどうかはわかりません)

1. ブラウザで ID を設定すると、すべてのブラウザでセッション ID の保存が許可されます。ブラウザで許可されていない場合はどうなりますか? 事前に確認する方法はありますか？

ですから、私たち全員が適切な安全なアプリケーションを構築しようとしているだけだと思います。他の提案があれば、大歓迎です。

たくさんのタンク、

ASP.NETのCookieが原因で、いくつかの問題が発生しています。

ほとんどの場合、Cookieなしのセッションを使用したいと思います。これは主に、サファリでiFrameからCookieを設定できないという問題を回避するためです。そのため、その部分はすべて正常に機能します。クッキーレスセッションがその役割を果たします。

しかし、POSTから呼び出されるページがあります。投稿を使用してフォームから非表示のフィールドを渡し、フォームからいくつかの処理を実行します。実際に何を知る必要はありません。

したがって、Cookieなしのセッションがオンの場合、POSTは無効になり、ASP.NETWebフォームではGETSのみが発生する可能性があります。これは私の機能を壊しています。

私がやりたいのは、POSTページを含むフォルダーにweb.configを追加して、通常のCookieセッションに戻り、POSTを再び機能させることができるようにすることですが、これは機能しません。

フォルダーを通常のCookieセッションで機能させ、サイトの他の部分をCookieなしのセッションで機能させる方法を知っている人はいますか？

Cookie のないセッション (つまり、セッション ID は Cookie ではなく URL にあります) とテーマを使用する asp.net Web アプリケーションがあります。テーマを使用すると、css ファイルへの参照が、次のようなセッション ID を含む URL とともにクライアントに送信される HTML に含まれます。

css が css の場所からの相対パスを使用して画像を参照する場合、これらの画像はセッション ID も含む URL を介して取得されます。

ログインごとにセッション ID が変更されるため、クライアントは常に、セッションの開始時に少なくとも 1 回はサーバーから css ファイルを要求する必要があり、ローカルのブラウザー キャッシュを使用することはできません。

再訪問者がローカル ブラウザ キャッシュを使用できるように、セッション ID なしでリソース ファイルへのリンクを asp.net に挿入させる簡単な方法はありますか?

迅速かつ簡単/低リスクの方法を探しています。つまり、中期計画で最初にテーマを使用しないようにするよりも簡単です (そして、より小さな再テスト サーフェスを作成します)。

ありがとう！

例を挙げて説明してみましょう。Web サイトがexample.com(NOT www.example.com) でホストされているとします。Cookie を使用せずに静的コンテンツを提供するために、別のドメインを使用することにしましたexample-static.com。

ここで、静的コンテンツが現在次のように提供されていると考えてみましょう。

example-static.com** ここで、メイン ドメインにエイリアスする CNAME レコードを作成します。つまりexample.com、静的コンテンツが次のように提供されるようにします。

** 私がしなければならないことはそれだけですか? すべてのブラウザーは、セキュリティ上の懸念なしに JavaScript ファイルを実行し、Web フォントをロードしますか? または、ヘッダー情報などを変更するためにいくつかの .htaccess ルールを使用する必要がありますか?

PS:必要に応じて、どのルールを追加する必要があるかを提供していただければ幸いです。

編集:この質問に報奨金を追加した理由は、私が知っている人々が、別のドメインから JS を提供しないようにアドバイスしてくれたからです。彼らも私に明確な説明をすることができません。

自分の Web サイトに www ドメイン (www.* への永続的なリダイレクトを持つドメイン) を作成します。また、リソース (JS、CSS など) にサブドメイン (static.domain と呼ばれる) を作成します。しかし、メイン ドメイン (www.domain.com) の Cookie も static.domain.com に送信されます。Cookie パスを www で有効にする方法を教えてください。前もって感謝します。

私は Facebook アプリを開発しているので、P3P (Privacy Preferences Project) のために Cookie に頼ることができません。うん、それはとても面倒なことです (写真については、Rails と Facebook アプリに関するこのスライドシェアのスライド 18 と 19 を参照してください)。 ...

Facebook アプリでは、ブラウザーの観点から、すべての Cookie はサードパーティの Cookieです。また、多くのブラウザーはデフォルトでそれらをブロックします。

私の質問は、Cookie に依存せずにフラッシュ メッセージを実装するにはどうすればよいですか?

アップデート：

session_store.rbそれに応じてDBを変更しました。現在、セッションは DB に保存されていますが、フラッシュ メッセージはまだ Cookie に依存しています。

更新＃2：

最終的に回避策を見つけました。以下の回答を参照してください。最善の方法は、すべてを ajax することです(上記のリンクのスライドシェアによると) が、簡単な修正として私のソリューションが機能するはずです。

Cookie を使用せずに静的コンテンツを提供するために静的ドメイン エイリアスを設定しましたが、これはメイン ドメインの単なるエイリアスであるため、誤ってリンクされた場合にインデックスに登録される可能性があることを懸念しています。メイン サイトの .htaccess ファイルの条件によって、静的ドメイン エイリアスが CSS、JS、JPG、GIF ファイルなどを提供しないようにしたいと考えています。

つまり、次のようなものです:

ドメイン名に「静的」という用語が含まれている場合、.css、.js などで終わる「ない」ファイルに対するすべてのリクエストを親ドメインにリダイレクトします。

何か案は？

これは少し注意が必要な場合があり、正しい方法かどうかはわかりません。iOS6ではWebコンテナにCookieを設定できないため、Cookie（セッションID）に大きく依存する従来のHTML5Djangoゲームは再び機能しなくなります。私はCookieを使わない方法を試しています。ミドルウェアを作成して、URLからsessidを取り出し、request.cookies['sess_id']に保存します。私は動作しますが、コードベースにはURLに依存するロジックが多数含まれているため、1つずつ変更することはできません...urlは次のようになります。

今、私はそれを元に戻すためにURLからsess部分を削除することを考えています

進行中のすべてのプロセスを変更する必要はありません。djangoリクエストオブジェクトの元のプロパティを変更できると思います。どのプロパティを変更しますか？他にもっと良いアイデアはありますか？ありがとう。

cssの前処理にsass（http://sass-lang.com/ ）の代わりにless（ http://lesscss.org/ ）を使用したいと思います。静的リソース用のCookieなしドメインのセットがあります。例：0.mydomain.com、1.mydomain.com、2.mydomain.comなど。コンパイルされたCSS出力にCookieなしのドメインが挿入されるように、lessを使用してCSSをコンパイルしたいと思います。@functionを使用してsassドキュメントでカスタム関数を作成するこの機能を見つけました。同等のものはより少なく存在しますか（私は見つけることができません）？ファイル名をCookieなしのドメイン（X.mydomain.com）に対応する数値Xに変換するハッシュアルゴリズムを実行する関数が必要です。より少ない使用でこれをどのように行うでしょうか？

以下の例は、説明のために考案されたものです。

my.lessファイル：

コンパイルされた出力を生成します

SASSの例は http://sass-lang.com/docs/yardoc/file.SASS_REFERENCE.html#functionsです。

「機能ディレクティブ」のセクションを参照してください

LESSドキュメントの最も近い例を以下に示しますが、base-urlを作成する関数はありません。

たぶん、ソリューションのLESS + Node.js部分もありますか？

ありがとう！

次のコードを自分のサイトに配置して、標準的な +1 を追加すると、

それは私が望まないことをします。

このコードがなければ、サイトを機能させるために必要な独自の phpsessid しかありません。

このコードにより、次の Cookie がドメイン plusone.google.com から削除されます

さて、有効期限を見ると、2014年、2022年、2013年のどこかで...彼らは非常に長い間生きます.

ポイントは、Google + 1ボタンによるCookieの配置を無効にする方法に簡単にアクセスできるドキュメントはどこにもないということです.

ただし、クエストで分析用のCookieを無効にする方法を見つけました（万歳！）が、今度は、plusoneにCookieをドロップしないように指示する方法、javascriptオプション、または何かを見つける必要があります（長生きするオランダ語/ヨーロッパのCookie法）

質問: +1 ボタンに Cookie をドロップしないように指示するドキュメント/オプションに遭遇したことのある人はいますか?