asp.net当我在web.config中设置“sessionState mode=StateServer”
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了asp.net当我在web.config中设置“sessionState mode=StateServer”相关的知识,希望对你有一定的参考价值。
在页面上调用HttpContext.Current.Session取不值,这是何原因呢?
参考技术A 如果是ashx文件的话 就继承 IHttpHandler, System.Web.SessionState.IRequiresSessionState这2个类 参考技术B 请问你这个页面是何种页面呢,是aspx还是ashx 参考技术C 能用调用的,我也这么做过,但是不会出现你说的这个原因. 你是在.cs页面中取Session对象还是在处理页面中取Session?如何在 ASP.NET MVC 网站中为 cookie 设置“安全”标志?
【中文标题】如何在 ASP.NET MVC 网站中为 cookie 设置“安全”标志?【英文标题】:How can I set the 'secure' flag for cookies in an ASP.NET MVC website? 【发布时间】:2015-12-12 19:46:06 【问题描述】:我在 web.config 中设置了以下内容:
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>
当我使用 HTTP 连接访问网站时,它会重定向到我的登录页面(将方案指定为 HTTPS)。当浏览器获取此页面时,响应会设置一些 cookie(ASP.NET 会话 cookie,以及我的登录表单的请求验证令牌):
Set-Cookie: __RequestVerificationToken=IHx8a2zQU374d5CtsoEVW...YtIc1;路径=/; HttpOnly 设置 Cookie:ASP.NET_SessionId=pfbkkxx2seqhdrxxiodxfbmh;路径=/; HttpOnly
这些有HttpOnly 标志,这很好 - 但它们没有secure 标志,如here on Wikipedia 所述。
如果我随后登录,则会创建一个身份验证 cookie,并且此确实设置了 secure 标志:
Set-Cookie:MyWebSite.Authentication=RE3UD...BDW4;路径=/; 安全; HttpOnly
如何确保在我的 所有 cookie 上设置了 secure 标志?
更新:根据要求,这是我得到的 cURL 输出(直接获取登录页面时):
curl https://www.mywebsite.com/Account/Login --verbose --insecure
给予:
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
* Trying 194.73.98.116...
* Connected to www.mywebsite.com (111.11.11.111) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
[5 bytes data]
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
[512 bytes data]
* TLSv1.2 (IN), TLS handshake, Server hello (2):
[85 bytes data]
* TLSv1.2 (IN), TLS handshake, Certificate (11):
[2618 bytes data]
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
[401 bytes data]
* TLSv1.2 (IN), TLS handshake, Server finished (14):
[4 bytes data]
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
[138 bytes data]
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
[1 bytes data]
* TLSv1.2 (OUT), TLS handshake, Finished (20):
[16 bytes data]
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
[1 bytes data]
* TLSv1.2 (IN), TLS handshake, Finished (20):
[16 bytes data]
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
* subject: OU=Domain Control Validated; CN=*.mywebsite.com
* start date: 2015-07-29 13:37:38 GMT
* expire date: 2018-07-29 13:37:38 GMT
* issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2
* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
[5 bytes data]
> GET /Account/Login HTTP/1.1
> Host: www.mywebsite.com
> User-Agent: curl/7.43.0
> Accept: */*
>
[5 bytes data]
< HTTP/1.1 200 OK
< Cache-Control: no-cache, no-store, must-revalidate
< Pragma: no-cache
< Content-Type: text/html; charset=utf-8
< Expires: -1
< Server: Microsoft-IIS/8.5
< Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
< X-Frame-Options: Deny
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< Content-Security-Policy: default-src 'self';script-src 'self' www.google-analytics.com www.googletagmanager.com;object-src 'none';style-src 'self' fonts.googleapis.com;img-src 'self' www.google-analytics.com placehold.it placeholdit.imgix.net data:;media-src 'none';frame-src 'none';font-src 'self' fonts.gstatic.com;connect-src 'self';base-uri 'self';child-src 'none';frame-ancestors 'none';report-uri /WebResource.axd?cspReport=true
< X-Frame-Options: SAMEORIGIN
< X-Frame-Options: SAMEORIGIN
< Set-Cookie: __RequestVerificationToken=bPWxIp8e4F4I0Jt26t5oZyvDM6059tAWSRbgc-b6Df5IMjyYFDD9fJKgRsKVjbtN3EGgtFuHcf1sTjlYSwDWgnlhSUuNW1q5yv3cGMxmEwE1; path=/; HttpOnly
< Date: Fri, 04 Dec 2015 10:03:35 GMT
< Content-Length: 12596
<
[12596 bytes data]
100 12596 100 12596 0 0 31101 0 --:--:-- --:--:-- --:--:-- 31101
* Connection #0 to host www.mywebsite.com left intact
【问题讨论】:
这些标志在您第一次收到 cookie 时从服务器正确发送。那么您能否从 curl 输出中添加 HTTP 响应? @MehmetInce:我已按要求添加了 cURL 输出。 这很奇怪,你的 web.config 代码对我来说工作得很好。 【参考方案1】:建议的解决方法是在处理页面请求时保护会话 ID 和表单请求 cookie,例如
// This code will mark the forms authentication cookie and the
// session cookie as Secure.
if (Response.Cookies.Count > 0)
foreach (string s in Response.Cookies.AllKeys)
if (s == FormsAuthentication.FormsCookieName || s.ToLower() == "asp.net_sessionid")
Response.Cookies[s].Secure = true;
以及 webconfig 中用于保护表单身份验证令牌的附加行:
<authentication mode="Forms">
<forms ... requireSSL="true" />
</authentication>
2020 - 编辑:
根据 cmets 中的要求,也可以仅使用 IIS 重写规则来配置它,方法是检查 cookie 中的安全标志并在未找到时添加它,例如:
<system.webServer>
<rewrite>
<outboundRules>
<rule name="Use only secure cookies" preCondition="Unsecured cookie">
<match serverVariable="RESPONSE_SET_COOKIE" pattern=".*" negate="false" />
<action type="Rewrite" value="R:0; secure" />
</rule>
<preConditions>
<preCondition name="Unsecured cookie">
<add input="RESPONSE_SET_COOKIE" pattern="." />
<add input="RESPONSE_SET_COOKIE" pattern="; secure" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
...
</system.webServer>
来源: Securing Request-Response cookies - Secure forms authentication via Web.config - How to Enable Secure HttpOnly Cookies in IIS
【讨论】:
谢谢,我试试这个。虽然我没有使用 Forms 身份验证(或者至少没有通过 web.config 配置),但这个答案让我在 ASP.NET Identity 身份验证设置代码中寻找类似的配置选项。似乎CookieAuthenticationOptions 类具有CookieHttpOnly 和CookieSecure 属性,后者听起来很有希望。
@MalikKhalil:我不敢苟同:msdn.microsoft.com/en-us/library/…
啊,明白了...谢谢你让我正确@GaryMcGill
对于无法访问源代码的遗留系统,有没有办法在不更改代码的情况下保护它,甚至可以通过 IIS 设置或 web.config? @Moby
@MalcolmSalvador 是的,有一些使用重写规则的解决方案。如果您还没有遇到过,我现在已经更新了我的答案,如果您还没有遇到它,希望它会有所帮助!以上是关于asp.net当我在web.config中设置“sessionState mode=StateServer”的主要内容,如果未能解决你的问题,请参考以下文章
C#/ ASP.Net:app.settings而不是web.config