ASP.NET SSL身份验证票证安全性?
我打算在登录表单上使用SSL,以便在用户登录期间对用户名和密码进行加密 但是,在对用户进行身份验证之后,如果我返回HTTP,在每次请求时,自动验证Cookie将从客户端传递到服务器。这有多安全?显然,我将在用户输入敏感信息的页面上使用SSL,但在大多数情况下,出于性能原因,我只希望它们保持身份验证并使用HTTP 我注意到,如果我在web.config的表单身份验证部分中设置requiressl=“True”,那么如果我使用HTTP,则不会传递身份验证cookie,因此我无法识别当前用户 我想我的问题是:ASP.NET SSL身份验证票证安全性?,asp.net,security,ssl,https,forms-authentication,Asp.net,Security,Ssl,Https,Forms Authentication,我打算在登录表单上使用SSL,以便在用户登录期间对用户名和密码进行加密 但是,在对用户进行身份验证之后,如果我返回HTTP,在每次请求时,自动验证Cookie将从客户端传递到服务器。这有多安全?显然,我将在用户输入敏感信息的页面上使用SSL,但在大多数情况下,出于性能原因,我只希望它们保持身份验证并使用HTTP 我注意到,如果我在web.config的表单身份验证部分中设置requiressl=“True”,那么如果我使用HTTP,则不会传递身份验证cookie,因此我无法识别当前用户 我想我的
“设置requiressl=“false”并允许身份验证cookie通过HTTP是否是一种不好的做法?如果设置了
protection=“All”
,则表单身份验证cookie将被加密并使用服务器的机器密钥进行检查,因此返回HTTP并不是特别糟糕 谢谢blowdart-是的,所以我想如果一个跨站点脚本编写者劫持了cookie,至少他们看不到里面有什么。但是-我担心他们会发送带有cookie的请求,然后假装是经过身份验证的用户?服务器不会知道有什么区别。cookie是HTTP的,所以XSS会被缓解(除了Safari不遵守这一点)啊-是这样的!我从来不知道!因此,只有服务器才能访问它。那样的话,我觉得很安全。如果没有人告诉我任何不同的话,我明天就结束这个-谢谢你除了Safari用户,当然安全!