Вдохновленный этой статьей CodingHorror, Защита ваших файлов cookie: HttpOnly"
Как вы устанавливаете это свойство? Где-то в веб-конфигурации?
Вдохновленный этой статьей CodingHorror, Защита ваших файлов cookie: HttpOnly"
Как вы устанавливаете это свойство? Где-то в веб-конфигурации?
Если вы используете ASP.NET 2.0 или выше, вы можете включить его в файле Web.config. В < system.web > , добавьте следующую строку:
<httpCookies httpOnlyCookies="true"/>
С реквизитами для Рика (второй комментарий в упомянутом блоге) здесь статья MSDN на httpOnlyCookies.
В итоге вы просто добавите следующий раздел в раздел system.web в свой web.config:
<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />
Если вы хотите сделать это в коде, используйте свойство System.Web.HttpCookie.HttpOnly.
Это непосредственно из документов MSDN:
// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);
Выполнение этого кода позволяет выборочно выбирать, какие файлы cookie HttpOnly, а какие нет.
Интересно, что размещение <httpCookies httpOnlyCookies="false"/>
не отключает httpOnlyCookies
в ASP.NET 2.0. Проверьте эту статью о SessionID и проблемы с входами в ASP.NET 2.0.
Похоже, Microsoft приняла решение не разрешать вам отключать его из web.config. Отметьте сообщение на forums.asp.net