#asp.net #cookies #azure-application-gateway #httponly
Вопрос:
Как включить HttpOnly для файлов cookie ApplicationGatewayAffinityCORS и ApplicationGatewayAffinity в конфигурации параметров HTTP шлюза приложений Azure для ASP. Заголовок ответа сетевого веб-приложения? Пожалуйста, помогите
Ответ №1:
Пожалуйста, попробуйте выполнить эту команду:
Set-Cookie: cookie_name="cookie_value"; HttpOnly
Если ваш проект основан на .net framework , подумайте о том, чтобы добавить в свой web.config файл следующее, чтобы убедиться, что все файлы cookie, установленные вашим приложением, были HttpOnly :
<system.web>
<httpCookies httpOnlyCookies="true"/>
</system.web>
Вы также можете настроить файл cookie вручную, как показано ниже:
HttpContext.Response.Cookies.Append(
"CookieKey",
"CookieValue",
new CookieOptions
{
HttpOnly = true
});
Комментарии:
1. Операция запрашивает набор файлов cookie из балансировщика нагрузки шлюза приложений Azure. Это не то, что вы можете контролировать с помощью web.config или кода на C#, AFAIK.
Ответ №2:
Из документации Microsoft и ответа на этот вопрос кажется, что это пока невозможно. На их странице написано:
Некоторые проверки на уязвимости могут помечать файл cookie привязки шлюза приложений, поскольку флаги Secure или HttpOnly не установлены. Эти проверки не учитывают, что данные в файле cookie генерируются с использованием одностороннего хэша. Файл cookie не содержит никакой информации о пользователе и используется исключительно для маршрутизации.
Я хочу, чтобы та же функция могла очищать мои сканеры уязвимостей, но пока не похоже, что это возможно.