Kentico 11 - 使 .ASPXFORMSAUTH cookie 安全
Kentico 11 - making .ASPXFORMSAUTH cookie secure
我的任务是保护 Kentico 11 站点 (11.0.47)。具体来说,我必须为 .ASPXFORMSAUTH cookie 设置安全标志。
阅读文档,我修改了web.config:
<forms loginUrl="CMSPages/logon.aspx"
defaultUrl="Default.aspx"
name=".ASPXFORMSAUTH"
timeout="60000"
slidingExpiration="true"
requireSSL="true" />
我还补充了:
<system.Web>
<httpCookies httpOnlyCookies="true" requireSSL="true">
</system.Web>
运气不好。我还尝试将 lockItem="true" 属性添加到 httpCookies 元素,但这破坏了 Kentico Admin 应用程序。一些 cookie 得到保护,但 .ASPXFORMSAUTH 没有。
我们最近遇到了这个问题。
如上述评论所述,将 Application_EndRequest 中的 cookie 设置为安全也无济于事。
使我们能够将 cookie 设置为仅 ssl 的唯一方法是在 web.config 文件中更改 auth cookie 的名称。这不应破坏任何其他现有功能。
像这样的东西应该可以工作:
<forms loginUrl="CMSPages/logon.aspx"
defaultUrl="Default.aspx"
name=".ASPXFORMSAUTHENTICATION"
timeout="60000"
slidingExpiration="true"
requireSSL="true" />
我们仍然不确定为什么会发生这种情况,但它确实解决了这个问题。
我的任务是保护 Kentico 11 站点 (11.0.47)。具体来说,我必须为 .ASPXFORMSAUTH cookie 设置安全标志。
阅读文档,我修改了web.config:
<forms loginUrl="CMSPages/logon.aspx"
defaultUrl="Default.aspx"
name=".ASPXFORMSAUTH"
timeout="60000"
slidingExpiration="true"
requireSSL="true" />
我还补充了:
<system.Web>
<httpCookies httpOnlyCookies="true" requireSSL="true">
</system.Web>
运气不好。我还尝试将 lockItem="true" 属性添加到 httpCookies 元素,但这破坏了 Kentico Admin 应用程序。一些 cookie 得到保护,但 .ASPXFORMSAUTH 没有。
我们最近遇到了这个问题。
如上述评论所述,将 Application_EndRequest 中的 cookie 设置为安全也无济于事。
使我们能够将 cookie 设置为仅 ssl 的唯一方法是在 web.config 文件中更改 auth cookie 的名称。这不应破坏任何其他现有功能。
像这样的东西应该可以工作:
<forms loginUrl="CMSPages/logon.aspx"
defaultUrl="Default.aspx"
name=".ASPXFORMSAUTHENTICATION"
timeout="60000"
slidingExpiration="true"
requireSSL="true" />
我们仍然不确定为什么会发生这种情况,但它确实解决了这个问题。