Должен ли asp.net_sessionid появляться в запросе http, когда requireSSL имеет значение true

Question

Народ,

Мне было интересно, может ли кто-нибудь рассказать мне об этой проблеме, с которой я столкнулся. Я не уверен в том, что я должен видеть, я полагаю, это главная проблема, которую я имею.

Я изменил web.config для использования следующего:

<httpCookies requireSSL="true" />

Все отлично работает для общих файлов cookie, определенных, когда я делаю запрос через http (в отличие от https), поскольку они не отображаются, однако файл cookie asp.net_sessionid (ASP.NET_SessionId = epg3ebjv1hheqe45kgp0j055) по-прежнему отображается. Это правильное поведение, не должно ли оно отсутствовать?

UPDATE:

Пока я немного трал через интернет, я обнаружил, что это применимо только к cookie-файлам форм. Это не относится к сеансовым файлам cookie. Sickner! Однако следующая ссылка предложила исправить это: Как защитить файл cookie ASP.NET_SessionId?

Что, к сожалению, не решило мою проблему, cookie все еще появляется в запросе.

Answer 1

Cookie всегда будет появляться. Если это безопасно, контент будет зашифрован (и будет передаваться в зашифрованном виде, если вы используете SSL.

Этот идентификатор сеанса должен быть как-то отправлен. Если вы не хотите, чтобы он хранился в виде файла cookie, возможно, вы захотите изучить сеансы без файлов cookie. В этом случае сеанс будет частью конструкции URL.

Может быть, попробовать установить собственное имя файла cookie и использовать найденный вами обходной путь?