我有一个使用表单身份验证的WSS 3.0站点。除了我的身份验证cookie,我还得到一个包含以下数据的cookie:
2FDiscovery=WorkspaceSiteName=aHR0cDovL3d3dy5rZWxldi5iaXo=&WorkspaceSiteUrl= aHR0cHM6Ly9zdGFnaW5nLWluc2lnaHQubmNqcnMuZ292&WorkspaceSiteTime=MjAwOS 0xMi0xMFQxNDo1ODoxMQ==; path=/_vti_bin/Discovery.asmx;
这个cookie没有设置Secure属性,即使我的web.config中有requireSSL =“true”,其他cookie也有属性。
我不知道这个cookie是源自WSS还是一般来自表单身份验证。
有没有人知道cookie的作用(或者/_vti_bin/Discovery.asmx做了什么)以及为什么该属性似乎没有从web.config中获取?
答案 0 :(得分:1)
Cookie的内容(WorkspaceSiteName,WorkspaceSiteUrl,WorkspaceSiteTime)表明MS Office会使用它来记住最近使用过的SharePoint工作区,以便它可以在您显示时显示给您比如在MS Word中保存文档。我虽然没有证实这一点。根据我的经验,cookie的持续时间为30天,这意味着MS Office会记住您在过去30天内访问过的工作区。
关于requireSSL=true中web.config的{{1}}条目没有被提取,web.config你输入了这个条目?您网站根目录(web.config文件夹)中的c:\inetpub\wwwroot\wss\virtualdirectories\<sitename>错误web.config! _vti_bin在IIS中配置为虚拟目录,并映射到物理路径C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\isapi。该位置有一个单独的web.config。
答案 1 :(得分:0)
在Google搜索Discovery.asmx时,我得到的唯一线索是此服务由WIndows Live ID使用。显然,即使Live ID不是该网站上使用的实际身份验证提供程序,它也是活动的。
您可以尝试直接使用IIS阻止对此服务的访问吗?只需打开IIS管理器即可找到该服务。然后阻止所有外部访问它。不确定有什么可能性(禁用所有身份验证,或向其添加重定向到404页面规则...)
P.S。首先确保它不会造成实际的安全漏洞/威胁。