因此,我一直在研究如何在我的 Web 环境中实现 HttpOnly 和 SecureCookies。我有一个 F5 作为负载平衡器,并在 iis 7.5 中为网站托管了几个 C# Web 应用程序。.net 应用程序是一个旧的 asp.net 遗留应用程序和一个较新的 MVC4 应用程序。
我偶然发现了这篇关于如何实施变革的有趣文章。 http://geekflare.com/f5-irule-to-secure-cookie-with-httponly-and-secure/
我的问题是,在负载均衡器上设置标志是否会违背目的?即使是负载均衡器设置了这些标志,.Net 也会遵守这些标志吗?
谢谢,亚历克斯
答案1
确保 cookie 仅通过 ssl(安全)发送,并确保只有服务器可以访问 cookie(httponly)是客户端保护,因此无论它们是在服务器上还是在中介(BIG-IP)上设置都没有关系