Должно ли asp.net_sessionid появляться в запросе http, когда requireSSL имеет значение true

Question

Должно ли asp.net_sessionid появляться в запросе http, когда requireSSL имеет значение true

Послеобеденные люди,

Мне было интересно, если кто-нибудь мог бы дать мне голову в отношении этой проблемы, которая у меня есть. Я не уверен в том, что я должен видеть, я полагаю, это главная проблема, которая у меня возникла.

Я изменил web.config, чтобы использовать следующее:

<httpCookies requireSSL="true" />

Все отлично работает для общих файлов cookie, определенных, когда я делаю запрос через http (в отличие от https), поскольку они не появляются, однако cookie asp.net_sessionid ( ASP.NET_SessionId=epg3ebjv1hheqe45kgp0j055) по-прежнему отображается. Это правильное поведение, не должно ли оно отсутствовать?

ОБНОВИТЬ:

Делая немного больше траления через Интернет, я обнаружил, что это применимо только к cookie-файлам форм. Это не относится к сеансовым файлам cookie. Sickner! Однако следующая ссылка предложила исправить это: Как обезопасить файл cookie ASP.NET_SessionId?

Что не решило мою проблему, к сожалению, cookie все еще появляется в запросе.

2

asp.net requiressl

Источник

user937643 04 окт '11 в 14:06

1 ответ

Решение

Другие вопросы по тегам asp.net requiressl

user481753 04 окт '11 в 15:55 2011-10-04 15:55 · Accepted Answer · 2011-10-04 15:55

Cookie всегда будет появляться. Если это безопасно, контент будет зашифрован (и будет передаваться в зашифрованном виде, если вы используете SSL).

Этот идентификатор сеанса должен быть как-то отправлен. Если вы не хотите, чтобы он хранился в виде файла cookie, возможно, вы захотите изучить сеансы без файлов cookie. В этом случае сеанс будет частью конструкции URL.

Может быть, попытаться установить собственное имя файла cookie и использовать найденный вами обходной путь?