Security 为什么FormsAuthentication';s requireSSL属性为假!
注意:这不是与[RequireSSL]属性相关的ASP.NET MVC问题。那是完全不同的-只是有相同的名字Security 为什么FormsAuthentication';s requireSSL属性为假!,security,cookies,asp.net-membership,requiressl,Security,Cookies,Asp.net Membership,Requiressl,注意:这不是与[RequireSSL]属性相关的ASP.NET MVC问题。那是完全不同的-只是有相同的名字 ASP.NET窗体身份验证具有一个属性,该属性要求ASP.NET成员身份的身份验证cookie只能通过SSL发送。这是为了防止有人窃取cookie(例如通过网络嗅探)并冒充用户 所以我想知道,微软已经做出了所有安全意识上的改变(比如默认),为什么requireSSL没有默认为true cookie嗅探是否被视为“可忽略”的安全风险 除非连接允许我访问安全/个人数据,否则将其保留为假是否
ASP.NET窗体身份验证具有一个属性,该属性要求ASP.NET成员身份的身份验证cookie只能通过SSL发送。这是为了防止有人窃取cookie(例如通过网络嗅探)并冒充用户 所以我想知道,微软已经做出了所有安全意识上的改变(比如默认),为什么
requireSSL
没有默认为true
cookie嗅探是否被视为“可忽略”的安全风险
除非连接允许我访问安全/个人数据,否则将其保留为假是否视为可接受的风险?如果这是不可接受的-我应该如何将用户返回到http并仍然知道他们是谁
防止表单身份验证
从被抓获和
在穿越公路时被篡改
网络,请确保将SSL与
所有需要验证的页面
访问和限制表单
SSL通道的身份验证票证
通过在
元素
限制窗体身份验证的步骤
Cookie到SSL通道
在元素上设置requireSSL=“true”,
如下面的代码所示
通过设置requireSSL=“true”,您可以设置
所使用的安全cookie属性
确定浏览器是否应
将cookie发送回服务器。
在设置了secure属性后
cookie仅由浏览器发送到
使用请求的安全页面
HTTPS URL
注意:如果您使用的是cookieless
在会话中,您必须确保
身份验证票证永远不可用
通过无担保的
频道
因为如果打开SSL证书,就需要SSL证书,而这些证书通常需要花钱才能获得。您还可以使用浏览器会话来控制不安全的信息——在某些公共网站中,这可能正是您想要做的。在这种情况下,如果有人窃取他人的会话cookie,那么就不会泄露任何敏感信息——那么,为什么还要花钱购买和安装SSL证书呢?我猜这是因为网站默认情况下不是SSL。您需要SSL证书才能执行此操作。