使用相同站点cookie属性防止CSRF。
使用相同站点cookie属性防止CSRF。
提问于 2016-08-15 12:10:17
我在网上冲浪,发现了一篇文章使用相同站点cookie属性防止CSRF。。
作为链接维护,我们需要添加Set-Cookie标题。
集-曲奇: key=value;HttpOnly;SameSite=strict
现在我的问题是,我想把这个设置在我的ASP.NET网站上的所有饼干和认证饼干。我试图使用IIS的头来设置这个值,但是有人说这是错误的实现方式。
我在下面也试过了。
HttpCookie newAuthenticationCookie = new HttpCookie(FormsAuthentication.FormsCookieName
, FormsAuthentication.Encrypt(newAuthenticationTicket))
{
HttpOnly = true
};
newAuthenticationCookie.Values.Add("SameSite", "strict");但好像帮不了我。
请给我一个更好的方法。
谢谢。
Stack Overflow用户
发布于 2020-01-08 22:26:41
https://www.nuget.org/packages/Microsoft.Owin.Security.Cookies/4.1.0现在支持SameSite。
这是一个非常好的消息,因为这里的其他解决方案并没有那么出色:
除了性能之外,实现OwinMiddleware:的工作得很好。这可能是特定于我们的环境,但该解决方案约占我们的CPU 10%。
<outboundRules>:可能有可能开始工作。但是到目前为止,我看到的所有解决方案,包括这个线程中的解决方案,在相同响应中设置多个cookie时,都会出现一些问题。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/38954821
复制相关文章
相似问题
腾讯云开发者
