Я хочу защитить свои куки, я читаю о флагах «HTTPOnly» и «Безопасный» для куки ASP.NET_SessionId.
Я создаю новый проект asp.net в VS. И в Fiddler в инспекторах -> сырье у меня есть:
Cookie: DXCurrentThemeMVC=Office2010Black; ASP.NET_SessionId=1gq0t1mi234xyljqnxrzbqfx
Затем я изменяю web.config:
<system.web>
<compilation debug="true" targetFramework="4.0" />
<httpCookies httpOnlyCookies="true" requireSSL="true"/>
<authentication mode="Forms">
<forms loginUrl="~/Account/Login.aspx" timeout="2880" requireSSL="true" />
</authentication>
Но в фиддлере те же данные
Cookie: DXCurrentThemeMVC=Office2010Black; ASP.NET_SessionId=1gq0t1mi234xyljqnxrzbqfx
Я думаю, когда я добавлю
<httpCookies httpOnlyCookies="true" requireSSL="true"/>
Я не могу видеть куки в Fiddler, или куки будут зашифрованы. Это правильный результат? Или у меня где-то ошибка?
EDIT
и почему я не вижу в скрипаче
Set-Cookie: ASP.NET_SessionId=ig2fac55; path=/; secure; HttpOnly
но только cookie без set- и secure, и HttpOnly также в firebug я вижу те же результаты
EDIT2
Кажется, я нахожу свою проблему: я размещаю приложение на iis и в firebug, ищу куки, и у меня есть куки с безопасными и httpOnly Flags:
ASP.NET_SessionId=98sfd90sdf89sd0f80s8; path=/; secure; HttpOnly