問題タブ [requiressl]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - Asp.NET Web アプリケーションでセッション識別子が更新されない
最近、ASP.NET アプリケーションの 1 つでセキュリティ スキャン (IBM AppScan) が行われ、次のような中程度の脆弱性が報告されました。
セッション ID が更新されていません
重大度: 中
リスク: 顧客のセッションと Cookie を盗んだり操作したりする可能性があります。これは正当なユーザーになりすますために使用される可能性があり、ハッカーがユーザー レコードを表示または変更したり、そのユーザーとしてトランザクションを実行したりできる
原因:安全でない Web アプリケーションのプログラミングまたは構成。
そして、ASP.NET 用のツールによる修正案は次のとおりです。
セッション ID Cookie の新しい値を生成しない ASP などのプラットフォームでは、セカンダリ Cookie を使用します。このアプローチでは、ユーザーのブラウザーのセカンダリ Cookie をランダムな値に設定し、セッション変数を同じ値に設定します。セッション変数と Cookie 値が一致しない場合は、セッションを無効にし、ユーザーに再度ログオンを強制します。
アプリケーションに SSL 証明書をインストールし、すべての Cookie (セッション、認証、AntiForgeryToken) がセキュア (RequireSSL="True")-HttpOnly であることを確認しました。
ここでの私の質問は、SSL 証明書とトラフィックが Https を使用していても、セッションをハイジャックすることは可能ですか? そして、私はすでにセカンダリ Secure-Httponly Cookie(AntiForgeryToken) を使用しているので、アプリケーションをより安全にするために他に何をしなければなりませんか?
ssl - requiressl が true に設定されている場合、ログインできません
IIS 7.5 でライブ Web サイトを持っています。Web.config に次の行を追加するまで、http プロトコルを使用して自分のサイトに正しくログインできます。
httpCookies httpOnlyCookies="true" requireSSL="true"
SSL のすべての構成が完了しましたが、Cookie .ASPXAUTHが作成されていますが、http と https の両方でログインできなくなりました。
requireSSL="false"を設定すると、正常にログインできます。
助けてください!
https - https で動作する SelfHost を使用した ThinkTecture IdentityServer の動作サンプル?
https で動作する SelfHost を使用した ThinkTecture IdentityServer の実例はありますか?
プロジェクト自体とサンプルの別のプロジェクトでサンプルを検索しました
- https://github.com/thinktecture/Thinktecture.IdentityServer.v3
- https://github.com/thinktecture/Thinktecture.IdentityServer.v3.Samples
私が見つけたものはすべてに含まれてRequireSsl = falseおり、http への事前設定されたIdentityServerOptionsURL (例: http://loсalhost:3333/core) です。https に変更しようとすると、IDX10803: Unable to create to obtain configuration from...
私が必要としているのは、実際の例または手順、そのサンプルを https で実行するように変更する方法です。必要に応じて、サンプル内のクライアントはすべて https に構成済みであると想定できます。
node.js - Azure Web サイトの NodeJS で RequireSSL を取得するにはどうすればよいですか?
最初に少し背景を説明します。Azure Web サイトで実行されている NodeJS サーバーでは、すべての HTTPS 要求が自動的に http エンドポイントに送信されます。これにより、次のコードが HTTP と HTTPS の両方で機能します。
ここから、「RequireSSL」ミドルウェアを作成することにしました
ここで背景の出番です。Azure はすべての HTTPS を HTTP プロトコルにリダイレクトするため、req.protocolは常に「http」と等しくなり、リダイレクト ループが作成されます。
これを Azure Web サイトで機能させる方法を知っている人はいますか?
c# - require SSL=true Asp.net の設定時のエラー
フォーム認証を使用して Asp.net アプリケーションで作業しています。私の web.config では、requiressl プロパティを true に設定しました。
問題なく開発に取り組んできましたが、テスト環境にデプロイすると、次のエラーが発生しました。
アプリケーションは、安全な Cookie を発行するように構成されています。これらの Cookie では、ブラウザが SSL (https プロトコル) 経由でリクエストを発行する必要があります。ただし、現在のリクエストは SSL 経由ではありません。」
エラーが発生します
System.Web.Security.FormsAuthentication.SetAuthCookie (文字列の userName、ブール値の createPersistentCookie、文字列 strCookiePath) で System.Web.Security.FormsAuthentication.RedirectFromLoginPage で
私の質問は、なぜ FormsAuthentication.SetAuthCookie が http 経由で Cookie を設定するのですか? どうすればhttps経由になるように設定できますか??