5
System.IdentityModel을 사용하여 claim MVC4 웹 응용 프로그램에서 클레임 주체와 양식 auth를 사용하여 사용자를 인증합니다. (코드이 문서를 기반으로 : http://brockallen.com/2013/01/26/replacing-forms-authentication-with-wifs-session-authentication-module-sam-to-enable-claims-aware-identity/)SessionAuthenticationModule 쿠키 처리기가 HttpOnly 보안 쿠키를 만들지 않습니다.
내 ClaimsBasedAuthenticationService 클래스는 SessionSecurityToken에서 SAM 쿠키를 발행하고, 모든 난 그냥 지금은 Http 만 같은 세션 쿠키를 만들거나 필요로하지 않는 것으로 나타났습니다 것을 제외하고 ... 잘하고있다 SSL을 요구합니다. 코드를 디버깅 할 때 CookieHandler 객체의 속성이 디버거에서 올바르게 설정되어 있지만 생성 된 최종 세션 쿠키에는 HTTPOnly 및 보안 플래그가 표시되지 않습니다.
나는 같은 명시 적으로 true로 다음을 설정하는 Web.config의 라인을 가지고 : 스크립트에서 숨길 수 내 FedAuth 쿠키 위해 다른 내가 놓친 거지 뭔가가 (이 있는지
이<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
<authentication mode="Forms">
<forms ... requireSSL="true" />
</authentication>
...
</system.web>
<system.identityModel.services>
<federationConfiguration>
<cookieHandler requireSsl="true" hideFromScript="true" />
</federationConfiguration>
</system.identityModel.services>
누군가가 말해 줄 수 HTTPOnly) SSL을 요구합니까?
누군가가 lockItem = "true"속성을 httpCookies 요소에 추가 할 것을 제안했지만, 아무것도하지 마라. –