У меня есть два приложения ASP.Net, которые находятся в двух разных папках на моем сервере:
/Foo <- это стандартное незащищенное приложение </li>
/Secure <- это отдельное приложение, требующее SSL по IIS </li>
Проблема в том, что по умолчанию файл cookie ASP.NET_SessionId указан в домене и используется двумя приложениями в разных каталогах. Мне нужно, чтобы сессионный cookie-файл отличался, потому что я не могу позволить использовать угнанный cookie-файл на /Foo для предоставления доступа к приложению /Secure.
В идеале, я бы хотел, чтобы cookie каждого приложения были ограничены свойством cookie Path. По-видимому, нет способа сделать это в .Net из коробки.
В качестве дополнительной головной боли, даже если я пишу собственный код для установки пути к cookie, я боюсь, что некоторые браузеры чувствительны к регистру и не будут использовать один и тот же сеансовый cookie для /Foo и /foo, что, в зависимости от того, как построены ссылки, может привести к нескольким сеансам в одном приложении.
Кто-нибудь сталкивался и преодолевал эту проблему?