1、属性
| 属性 | 说明 |
| domain | 可选的 String 属性。 设置 Cookie 域名。 |
| httpOnlyCookies | 可选的 Boolean 属性。 脚本(javascript之类)能够访问 默认值为 false。 |
| requireSSL | 可选的 Boolean 属性。 获取一个指示是否需要安全套接字层 (SSL) 通信的值。 默认值为 false。 该设置将被公开 requireSSL 配置的任何其他功能(如 authentication 的 forms 元素(ASP.NET 设置架构))重写。 |
2、位置
system.web->httpCookies //该元素放于<system.web>节点下
3、示例
<httpCookies httpOnlyCookies="true" //是否仅仅服务器能够访问
requireSSL="true" //不需要安全套接字层 (SSL) 通信的值
domain="" /> //域名为当前域名
4、编程访问节点
// <httpCookies httpOnlyCookies="false" requireSSL="false" domain="" />
HttpCookiesSection HS = (HttpCookiesSection)WebConfigurationManager.OpenWebConfiguration("/").GetSection("system.web/httpCookies");
Response.Write(HS.HttpOnlyCookies);
例如
<httpCookies httpOnlyCookies="true" requireSSL="true" domain="www.zhangkang.org" />
如果网站中没有会话的情况可以直接将会话状态关掉
直接禁用session 就不会有此cookie.
重点局也可以这样设置:
<sessionState mode="Off">
<providers>
<clear />
</providers>
</sessionState>
也可以将 ASP.Net_SessionId 重命名:
<sessionState
mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
stateNetworkTimeout="10"
sqlConnectionString="data source=127.0.0.1;Integrated Security=SSPI"
sqlCommandTimeout="30"
customProvider=""
cookieless="UseCookies"
cookieName="ASP.NET_SessionId"
timeout="20"
allowCustomSqlDatabase="false"
regenerateExpiredSessionId="true"
partitionResolverType=""
useHostingIdentity="true">
<providers>
<clear />
</providers>
</sessionState>
mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
stateNetworkTimeout="10"
sqlConnectionString="data source=127.0.0.1;Integrated Security=SSPI"
sqlCommandTimeout="30"
customProvider=""
cookieless="UseCookies"
cookieName="ASP.NET_SessionId"
timeout="20"
allowCustomSqlDatabase="false"
regenerateExpiredSessionId="true"
partitionResolverType=""
useHostingIdentity="true">
<providers>
<clear />
</providers>
</sessionState>
版权声明:《 asp.net中的cookies安全设置 》为zhangkang原创文章,转载请注明出处!
最后编辑:2017-8-1 19:08:51