서비스 세션의 보안 세션 쿠키

Question

쿠키가 https 기반 요청에서만 보내지도록 세션 쿠키에서 보안 속성을 사용하도록 ServiceStack을 얻는 방법을 누구든지 알 수 있습니까? 이는 세션 도용을 방지하는 데 중요합니다. 지금까지 테스트 한 결과, https 웹 사이트에서 ServiceStack 인증을 수행하면 사이트에 http 요청이 있으면 쿠키를 캡처하여 보안 의미가없는 것으로 설정되어있는 것으로 나타났습니다.

변경하려면 설정이나 구성이 있습니까?

Answer 1

당신은 HTTPS 요청에 세션 id에 대한 안전 쿠키를 추가 ServiceStack에게하는 Config.OnlySendSessionCookiesSecurely 옵션을 사용할 수 있습니다

SetConfig(new HostConfig { 
    OnlySendSessionCookiesSecurely = true 
});