使 ASP.NET cookie 安全

Question

我有一个在 SSL 上运行的应用程序，我已经在 System.Web.

下的 web.config 中添加了以下内容

<httpCookies requireSSL="true" httpOnlyCookies="true" lockItem="true" />

但我仍然收到一个名为 "cookieSesssion1" 的不安全 cookie。它没有被标记为安全。

能否请您告诉我，我可以将其标记为安全。

编辑： 除了 Web.config 指令之外，我的 Global.asax 文件中还有以下代码。

protected void Application_EndRequest(object sender, EventArgs e)
{
    if (Response.Cookies.Count > 0)
    {
        foreach (string s in Response.Cookies.AllKeys)
        {
            Response.Cookies[s].Secure = true;
        }
    }
}

以下是firebox调试的截图：

我遗漏了什么，请帮忙

Answer 1

FortiWeb Web 应用程序防火墙 (WAF) session cookie 名为 cookiesession1

对于来自客户端的第一个 HTTP/HTTPS 请求，FortiWeb 在响应的 Set-Cookie: HTTP header 字段中嵌入了一个 cookie。它被命名为 cookiesession1。（FortiWeb 不单独使用源 IP 地址和时间戳 sessions：NAT 可以隐藏多个客户端；时钟可以更改。）

http://help.fortinet.com/fweb/537/Content/FortiWeb/fortiweb-admin/http_sessions_security.htm

http://help.fortinet.com/fweb/536/Content/FortiWeb/fortiweb-admin/global_object_white_list.htm

使 ASP.NET cookie 安全

Make ASP.NET cookie secure

.net

c#

asp.net

session-cookies