Question

我有一个在SSL上运行的应用程序，我已经在System.Web下的web.config中添加了以下内容。

<httpCookies requireSSL="true" httpOnlyCookies="true" lockItem="true" />

但我仍然得到一个名为＆＃34; cookieSesssion1＆＃34;的一个不安全的cookie。它没有被标记为安全。

请告诉我，我可以将其标记为安全。

修改除了Web.config指令之外，我在Global.asax文件中也有以下代码。

protected void Application_EndRequest(object sender, EventArgs e)
{
    if (Response.Cookies.Count > 0)
    {
        foreach (string s in Response.Cookies.AllKeys)
        {
            Response.Cookies[s].Secure = true;
        }
    }
}

以下是火箱调试的屏幕截图：

我缺少什么，请帮助

Answer 1

名为的FortiWeb Web应用防火墙（WAF）会话cookie cookiesession1

对于来自客户端的第一个HTTP / HTTPS请求，FortiWeb会在HTTP标头的响应的Set-Cookie：字段中嵌入一个cookie。它被命名为cookiesession1。（FortiWeb不会仅为会话使用源IP地址和时间戳：NAT可以隐藏多个客户端;时钟可以更改。）

http://help.fortinet.com/fweb/537/Content/FortiWeb/fortiweb-admin/http_sessions_security.htm

http://help.fortinet.com/fweb/536/Content/FortiWeb/fortiweb-admin/global_object_white_list.htm

使ASP.NET cookie安全

1 个答案: