时间戳

首页 > 解决方案 > 安全 Owin Cookie http 和 https

c# - 安全 Owin Cookie http 和 https

问题描述

在我们的网站上进行了渗透测试,我们被告知该网站没有安全 cookie。这在 Http 和 Https 上都有。

我已经尝试了很多示例,但 cookie 仍然没有勾选安全选项。我不知道我哪里错了。

这是我在网络配置中尝试过的:

Solution 1 
<httpCookies requireSSL="true"/>

Solution 2
<httpCookies httpOnlyCookies="true" requireSSL="true" />

Solution 3
<httpCookies requireSSL="true" lockItem="true"   />

Solution 4
    <authentication mode="Forms">
    <forms loginUrl="Layout_Simple.cshtml" cookieless="UseCookies"  requireSSL="true"   path="/Account/Login" />
    </authentication>

在尝试了这些解决方案后,cookie 仍然不安全 在此处输入图像描述

然后我尝试了 Global.asax.cs 文件中的代码。像这样运行网站时,cookies仍然不安全

 protected void Application_EndRequest(object sender, EventArgs e)
    {
       if (Response.Cookies.Count > 0)
       {
          foreach (string s in Response.Cookies.AllKeys)
         {
           if (s == FormsAuthentication.FormsCookieName || s.ToLower() == "_requestverificationtoken" || s.ToLower() == ".aspnet.applicationcookie") || s.ToLower() == "asp.net_sessionid"
           {
              Response.Cookies[s].Secure = true;                            Response.Cookies[FormsAuthentication.FormsCookieName].Secure = true;
             Response.Cookies["ASP.NET_SessionId"].Secure = true;
                    }
                }
            }
        }

我还尝试在 Startup.Auth.cs 文件中添加以下行,但这导致网站不再登录。

 app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
         AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
         LoginPath = new Microsoft.Owin.PathString("/Account/Login"),
         CookieSecure = Microsoft.Owin.Security.Cookies.CookieSecureOption.Always

标签: c#asp.net-mvccookiesowin

解决方案

我的 ASP.Net Core 3.1 Web API 遇到了同样的问题。它因违反“HttpOnlyCookies”和“InsecureCookie”而未能通过 Checkmarx 扫描(尽管它是一个没有 cookie 的 API)。我通过将其添加到 ConfigureServices 来修复它:

services.Configure<CookiePolicyOptions>(options =>
{
    options.HttpOnly = HttpOnlyPolicy.Always;
    options.Secure = CookieSecurePolicy.Always;
});

推荐阅读