什么是与/_vti_bin/Discovery.asmx相关的cookie,为什么我不能设置其Secure属性?

时间:2009-12-16 00:47:49

标签: cookies asp.net-membership forms-authentication wss

我有一个使用表单身份验证的WSS 3.0站点。除了我的身份验证cookie,我还得到一个包含以下数据的cookie:

2FDiscovery=WorkspaceSiteName=aHR0cDovL3d3dy5rZWxldi5iaXo=&WorkspaceSiteUrl=
aHR0cHM6Ly9zdGFnaW5nLWluc2lnaHQubmNqcnMuZ292&WorkspaceSiteTime=MjAwOS
0xMi0xMFQxNDo1ODoxMQ==; path=/_vti_bin/Discovery.asmx;

这个cookie没有设置Secure属性,即使我的web.config中有requireSSL =“true”,其他cookie也有属性。

我不知道这个cookie是源自WSS还是一般来自表单身份验证。

有没有人知道cookie的作用(或者/_vti_bin/Discovery.asmx做了什么)以及为什么该属性似乎没有从web.config中获取?

2 个答案:

答案 0 :(得分:1)

Cookie的内容(WorkspaceSiteNameWorkspaceSiteUrlWorkspaceSiteTime)表明MS Office会使用它来记住最近使用过的SharePoint工作区,以便它可以在您显示时显示给您比如在MS Word中保存文档。我虽然没有证实这一点。根据我的经验,cookie的持续时间为30天,这意味着MS Office会记住您在过去30天内访问过的工作区。

关于requireSSL=trueweb.config的{​​{1}}条目没有被提取,web.config你输入了这个条目?您网站根目录(web.config文件夹)中的c:\inetpub\wwwroot\wss\virtualdirectories\<sitename>错误web.config_vti_bin在IIS中配置为虚拟目录,并映射到物理路径C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\isapi。该位置有一个单独的web.config

答案 1 :(得分:0)

在Google搜索Discovery.asmx时,我得到的唯一线索是此服务由WIndows Live ID使用。显然,即使Live ID不是该网站上使用的实际身份验证提供程序,它也是活动的。

您可以尝试直接使用IIS阻止对此服务的访问吗?只需打开IIS管理器即可找到该服务。然后阻止所有外部访问它。不确定有什么可能性(禁用所有身份验证,或向其添加重定向到404页面规则...)

P.S。首先确保它不会造成实际的安全漏洞/威胁。

相关问题