仅为外部应用程序而非内部应用程序设置安全标志
Set secure flag only for external app not internal app
在 ASP.NET 应用程序中,我可以这样设置安全标志:httpCookies requireSSL="true"
现在假设我的应用程序面向外部,管理控制台面向组织内部。如果出于某种原因我们不能或不想在内部使用 SSL,有没有办法为外部应用程序设置 "Secure" 标志,而不是为内部管理页面设置它?
httpCookies 标记确实具有域属性。
<httpCookies domain="String"
httpOnlyCookies="true|false"
requireSSL="true|false" />
因此,理论上您可以拥有 2 个具有 2 个不同域的应用程序,一个面向 public 的 requireSSL="true" 仅具有外部页面,另一个用于具有 requireSSL=[=19 的管理页面=].
但是,如果您已经为外部用户获取了 SSL 证书,那么您不能也为内部用户使用相同的证书吗?即使对于内部网络流量,使用 SSL 也是最佳做法,因为 session hijacking is very easy 如果 cookie 以明文形式发送。
在 ASP.NET 应用程序中,我可以这样设置安全标志:httpCookies requireSSL="true"
现在假设我的应用程序面向外部,管理控制台面向组织内部。如果出于某种原因我们不能或不想在内部使用 SSL,有没有办法为外部应用程序设置 "Secure" 标志,而不是为内部管理页面设置它?
httpCookies 标记确实具有域属性。
<httpCookies domain="String"
httpOnlyCookies="true|false"
requireSSL="true|false" />
因此,理论上您可以拥有 2 个具有 2 个不同域的应用程序,一个面向 public 的 requireSSL="true" 仅具有外部页面,另一个用于具有 requireSSL=[=19 的管理页面=].
但是,如果您已经为外部用户获取了 SSL 证书,那么您不能也为内部用户使用相同的证书吗?即使对于内部网络流量,使用 SSL 也是最佳做法,因为 session hijacking is very easy 如果 cookie 以明文形式发送。