Мне нужна помощь в защите файлов cookie для моего веб-приложения. Он развернут в IIS и построен в ASP.NET MVC. Это то, о чем мне нужно получить больше информации
Если Sites не является виртуальным каталогом, тогда файл. Если веб-сайт развертывается непосредственно в папке Sites диспетчера IIS, то действительно ли он уязвим для других небезопасных приложений в той же папке Sites? ИЛИ b. будет ли это уязвимость только в случае виртуальных каталогов?
По умолчанию атрибут path всех файлов cookie указывает на root со значением '/'. Указывает ли он на уровень иерархии веб-приложений в разделе «Сайты» и повлияет ли он на другие небезопасные приложения? ИЛИ Указывает ли он только на веб-приложение, для которого были созданы файлы cookie?
После прочтения этой статьи, Я поднял выше вопросы. Просто найдите на странице атрибут пути.
Если мне действительно нужно установить путь к файлам cookie, есть еще одна вещь: они автоматически генерируются с помощью моего веб-приложения, например идентификатор сеанса, токен защиты от подделки. Поэтому я не могу установить для них свойство Path, поскольку я не создаю их через объект HttpCookie.
Я пытаюсь собрать как можно больше ясных объяснений с помощью поиска в Google, но мне трудно понять суть.
В диспетчере IIS «Сайты» не являются ни виртуальным каталогом, ни «папкой». Это узел. Под ним находятся все отдельные веб-сайты, определенные в IIS. Само по себе это не дает никакой конкретной информации о том, могут или не могут использоваться файлы cookie на разных сайтах.
Браузер, который определяет, какие файлы cookie будут отправлены с каким запросом, не заботится о том, как вы определили сайты в IIS или виртуальных каталогах, которые могут находиться под этими сайтами ... Он заботится только о свойствах конкретного запроса, а свойства набора файлов cookie, которые он хранит, и, сравнивая свойства запроса со свойствами файлов cookie, он решает, какие файлы cookie отправить.
Некоторые из конкретных свойств, о которых он может говорить: домен или адрес запроса, путь для запроса, протокол для запроса, домен или адрес, из которого был установлен файл cookie, свойство домена файла cookie, свойство пути файл cookie и флаг безопасности файла cookie.
Эти значения могут соответствовать только одному сайту в IIS, или они могут быть сопоставлены с несколькими сайтами, когда вы настраиваете сайты с использованием субдоменов. Итак, общего правила нет. Вам нужно будет проверить свою конфигурацию, чтобы определить, какие сайты будут соответствовать любому заданному источнику файлов cookie.