Поиск решения для ASP.NET_SessionId всегда должен быть защищенным флагом true, когда запрос выполняется из безопасного соединения.
Ниже приведены шаги для достижения -
1) Создан проект MVC
2) Добавлен код ниже под Global.asax.cs
protected void Session_Start(object sender, EventArgs e)
{
Response.Cookies["ASP.NET_SessionId"].HttpOnly = true;
if (Request.IsSecureConnection) {
Response.Cookies["ASP.NET_SessionId"].Secure = true;
}
}
Работает нормально, дает ожидаемый результат. Вот скриншот для защищенного флага.
https://i.imgur.com/eZSPzoW.png
Воспроизвести выпуск:
1) Удалить существующие куки
2) Сброс IIS
3) Загрузить сайт по SSL
4) Файлы cookie первой сессии всегда остаются незащищенными
После первого сеанса все сеансовые файлы cookie остаются в безопасности.
Вот скриншот для запроса SSL с незащищенными файлами cookie.
https://i.imgur.com/CKjNhyY.png
Может знать, как обеспечить безопасность файлов cookie при запросе SSL. Также это должно быть только по коду.