如何在 ASP.NET Core 2.1 Web 站点启用 HttpOnly cookies
[英]How to enable HttpOnly cookies on ASP.NET Core 2.1 Web site
问题描述
我使用 File->New Project 在 Visual Studio 中使用 Core 2.1 创建了一个标准的 ASP.NET Core MVC 网站。
在 Startup.cs 中是样板代码
public void ConfigureServices(IServiceCollection services)
{
services.Configure<CookiePolicyOptions>(options =>
{
// This lambda determines whether user consent for non-essential cookies is needed for a given request.
options.CheckConsentNeeded = context => true;
options.MinimumSameSitePolicy = SameSiteMode.None;
});
services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
}
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
app.UseExceptionHandler("/Home/Error");
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseCookiePolicy();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});
}
当我浏览网站时,当我接受 cookiepolicy 时,会有一个 single.AspNet.Consent cookie。 它默认标记为安全但不是 httponly。
如何在所有 cookies 上启用 HttpOnly?
谢谢。
4 个解决方案
解决方案1
1 2019-01-08 09:54:50
你试过这个吗?
services.ConfigureApplicationCookie(options =>
{
// Cookie settings
options.Cookie.HttpOnly = true;
options.ExpireTimeSpan = TimeSpan.FromMinutes(10);
});
解决方案2
0 已采纳 2019-01-08 09:41:17
同意cookie不是HttpOnly,因为它是通过JavaScript设置客户端的。 您可以在_CookieConsentPartial.cshtml找到代码:
<script>
(function () {
var button = document.querySelector("#cookieConsent button[data-cookie-string]");
button.addEventListener("click", function (event) {
document.cookie = button.dataset.cookieString;
}, false);
})();
</script>
如果您需要一个HttpOnly cookie,您应该在中间件或控制器中自己实现同意逻辑,并使用带有POST请求的常规表单。
解决方案3
0 2019-01-09 07:49:57
手动设置cookie时(例如,针对HTTPContext),可以使用一个简单的CookieOptions对象将HttpOnly设置为true。 最终看起来有点像这样:
HttpContext.Response.Cookies.Append(
"CookieKey",
"CookieValue",
new CookieOptions
{
HttpOnly = true
});
Microsoft有一个使用cookie进行身份验证的中间件。 如果您要在应用程序中使用它,请将其添加到startup.cs的Configure方法中。
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
app.UseMvc();
app.UseCookieAuthentication();
}
如果您以这种方式使用CookieAuthentication,默认情况下将使用HttpOnly cookie 。 有关更多详细信息,请参阅此处
解决方案4
0 2023-02-02 15:25:23
看起来您可以在 Startup.cs 中使用 IApplicationBuilder.UseCookePolicy 执行此操作:
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
...
app.UseCookiePolicy(
new CookiePolicyOptions
{
Secure = Microsoft.AspNetCore.Http.CookieSecurePolicy.Always,
HttpOnly = Microsoft.AspNetCore.CookiePolicy.HttpOnlyPolicy.Always
});
}
如何接收发布到 ASP.net 核心 2.1 Web-API 端点的文件和数据
[英]How to receive both File and data POSTed to an ASP.net core 2.1 Web-API endpoint
如何在ASP.Net core 2.1 Web API中查看“默认控制器”页面?
[英]How can I make a view of a Controller as Default page in ASP.Net core 2.1 Web API?
如何使用提取将JavaScript中的FormData发送到ASP.NET Core 2.1 Web API
[英]How to send FormData from javascript to ASP.NET Core 2.1 web API using fetch
如何在 https 站点的 asp.net Core 2.2 项目中启用压缩并避免诸如 CRIME 和 BREACH 之类的问题
[英]How to enable compression in asp.net Core 2.2 project for https site and avoid problems like CRIME and BREACH
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何在ASP.NET Web API核心中全局启用CORS
重新加载/重新启动ASP.NET Core 2.1 Web应用程序
Asp.net core 2.1 web api中的自定义授权
如何接收发布到 ASP.net 核心 2.1 Web-API 端点的文件和数据
如何在ASP.Net core 2.1 Web API中查看“默认控制器”页面?
如何使用提取将JavaScript中的FormData发送到ASP.NET Core 2.1 Web API
如何在 ASP.NET Core 中启用 CORS
ASP .NET Core 2.1 站点的 nlog 设置
如何在 https 站点的 asp.net Core 2.2 项目中启用压缩并避免诸如 CRIME 和 BREACH 之类的问题
如何在ASP.NET Core 2.1中获取客户端IP地址
相关标签