Security 为什么FormsAuthentication'；s requireSSL属性为假！

注意：这不是与[RequireSSL]属性相关的ASP.NET MVC问题。那是完全不同的-只是有相同的名字

---

ASP.NET窗体身份验证具有一个属性，该属性要求ASP.NET成员身份的身份验证cookie只能通过SSL发送。这是为了防止有人窃取cookie（例如通过网络嗅探）并冒充用户

所以我想知道，微软已经做出了所有安全意识上的改变（比如默认），为什么

requireSSL

没有默认为

true

cookie嗅探是否被视为“可忽略”的安全风险

除非连接允许我访问安全/个人数据，否则将其保留为假是否视为可接受的风险？如果这是不可接受的-我应该如何将用户返回到http并仍然知道他们是谁

防止表单身份验证 从被抓获和 在穿越公路时被篡改 网络，请确保将SSL与 所有需要验证的页面 访问和限制表单 SSL通道的身份验证票证 通过在 元素

限制窗体身份验证的步骤 Cookie到SSL通道

在元素上设置requireSSL=“true”， 如下面的代码所示

通过设置requireSSL=“true”，您可以设置 所使用的安全cookie属性 确定浏览器是否应 将cookie发送回服务器。 在设置了secure属性后 cookie仅由浏览器发送到 使用请求的安全页面 HTTPS URL

注意：如果您使用的是cookieless 在会话中，您必须确保 身份验证票证永远不可用 通过无担保的 频道

---

因为如果打开SSL证书，就需要SSL证书，而这些证书通常需要花钱才能获得。您还可以使用浏览器会话来控制不安全的信息——在某些公共网站中，这可能正是您想要做的。在这种情况下，如果有人窃取他人的会话cookie，那么就不会泄露任何敏感信息——那么，为什么还要花钱购买和安装SSL证书呢？

我猜这是因为网站默认情况下不是SSL。您需要SSL证书才能执行此操作。