Bir ASP.NET MVC4 web uygulamasındaki kullanıcıları kimlik doğrulama aslına uygun olarak kullanarak kimlik doğrulaması yapmak için System.IdentityModel kullanıyorum. (Kod bu makalede dayalı: http://brockallen.com/2013/01/26/replacing-forms-authentication-with-wifs-session-authentication-module-sam-to-enable-claims-aware-identity/)SessionAuthenticationModule Cookie Handler HttpOnly güvenli tanımlama bilgisi oluşturmuyor
Benim ClaimsBasedAuthenticationService sınıfı SessionSecurityToken SAM tanımlama bilgisi verir ve tüm ben sadece şimdi HTTPOnly olarak oturum çerezleri oluşturarak veya gerektirmeyen olduğunu fark olması dışında ... iyi olmuştur SSL gerektirecek şekilde. Kodu ayıkladığımda, CookieHandler nesnesindeki bu özelliklerin hata ayıklayıcısında doğru şekilde ayarlandığını görebiliyorum, ancak oluşturulan son oturum tanımlama bilgisi HTTPOnly ve Güvenli bayraklarının işaretlenmemiş halidir.
ben gibi açıkça true bu ayarlamak için web.config hatları var: komut gizli olmasını benim FedAuth çerezleri için sırayla başka Eksik bir şey (varsa
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
<authentication mode="Forms">
<forms ... requireSSL="true" />
</authentication>
...
</system.web>
<system.identityModel.services>
<federationConfiguration>
<cookieHandler requireSsl="true" hideFromScript="true" />
</federationConfiguration>
</system.identityModel.services>
birisi bana söyleyebilir HTTPOnly) ve SSL gerektirir?
Birisi, httpCookies öğesine lockItem = "true" özniteliğini eklemeyi önerdi, ancak bu ' Hiçbir şey yapmayın. –