看完这个/我有点好奇。关于劫持HTTPS Cookie的文章。我对其进行了跟踪，发现一个不错的资源，其中列出了几种在此处保护Cookie的方法。我是否必须使用adsutil，还是要在web.config的httpCookies部分中设置requireSSL来覆盖会话cookie(除了所有其他cookie(在此处找到))？还有什么我应该考虑进一步加强会议的？

解决方案

回答

https://www.isecpartners.com/media/12009/web-session-management.pdf

19页的白皮书"使用Web应用程序的Cookie进行安全的会话管理"

它们涵盖了很多安全性问题，而我以前从未在一个地方看到过。值得一读。