我需要帮助保护我的Web应用程序的Cookie。 它部署在IIS中,并构build在ASP.NET MVC中。 这些是我需要获得更多信息的事情
如果网站不是一个虚拟目录,那么一个。 如果网站直接部署在IISpipe理器的“站点”文件夹下,那么对于同一站点文件夹下的其他不安全的应用程序是否真的易受攻击? 或b。 只有在虚拟目录的情况下才会出现漏洞?
默认情况下,所有cookie的path属性都以“/”作为其值。 它是否指向“网站”下Web应用程序的层次结构级别,是否会影响其他非安全应用程序? 或者它只是指向创buildcookie的Web应用程序?
通过这篇文章后 ,我提出了以上问题。 只要在页面上寻找path属性。
如果我真的需要设置cookiepath,那么还有一件事,他们正在与我的Web应用程序自动生成,如会话ID,反伪造令牌。 所以我不能设置他们的path属性,因为我不是通过HttpCookie对象创build它们。
我试图尽可能地通过Google搜集尽可能清楚的解释,但很难说清楚。
在IISpipe理器中,“站点”既不是虚拟目录,也不是“文件夹”。 这是一个节点。 它下面是在IIS中定义的所有单个网站。 仅就此而言,没有传达关于是否可以在网站之间共享cookie的具体信息。
浏览器决定哪个cookie将与哪个请求一起发送,并不关心你如何在IIS中定义站点或者可能存在于这些站点下的虚拟目录……它只关心特定请求的属性,它所存储的一组cookie的属性,并且通过比较请求的属性和cookie的属性,它决定发送哪个cookie。
它可能涉及的一些具体属性:请求的域或地址,请求的path,请求的协议,cookie设置的域或地址,cookie的域属性,path属性cookie和cookie上的安全标志。
这些值可能只映射到IIS中的单个站点,或者当您使用子域设置站点时,它们可能会映射到多个站点。 所以,没有一般的规定。 您必须检查您的configuration,以确定哪些网站将匹配任何给定的Cookie来源。