Drapeau sécurisé pour le cookie ASPXAUTH dans MVC

Nous avons une application qui est développée en utilisant ASP.NET MVC3. Test de pénétration effectué par un outil IBM AppScan.Drapeau sécurisé pour le cookie ASPXAUTH dans MVC

Problème a été signalé et il était ASPXAUTH n'est pas sécurisé. Quand j'ai vérifié sur les outils de développement du navigateur, il y a quelques biscuits avec l'indicateur de sécurité. Mais ASPXAUTH n'était pas l'un d'entre eux.

J'ai déjà inclus ci-dessous ligne de code dans le fichier web.config.

<httpCookies requireSSL="true"/>

Note: Nous ne sommes pas en utilisant l'authentification des formulaires pour la connexion. Nous utilisons le mécanisme d'ouverture de session Signle.

Quelle est la manière correcte de marquer ASPXAUTH comme étant sécurisé?

Source

2017-10-13 Ask_SO

À quoi ressemble votre balise de formulaire? - le bit ' Alex

@Alex - Désolé j'ai oublié de mentionner, notre application n'utilise pas l'authentification par formulaires. –

Quel mécanisme d'authentification utilisez-vous – Alex

Ajoutez le code ci-dessous dans le fichier Global.asax.cs.

protected void Application_EndRequest(object sender, EventArgs e) 
     { 

       if (Response.Cookies.Count > 0) 
       { 
        foreach (string s in Response.Cookies.AllKeys) 
        { 
         Response.Cookies[s].Secure = true; 
        } 
       } 
      } 
     }

Source

2017-10-13 10:16:47 G01

Drapeau sécurisé pour le cookie ASPXAUTH dans MVC

Répondre

Questions connexes