true - ¿Cómo se configuran las httpOnlyCookies en ASP.NET?
httponly true (4)
Con accesorios para Rick (segundo comentario en la entrada del blog mencionada), aquí está el artículo de MSDN en httpOnlyCookies.
En pocas palabras, solo debe agregar la siguiente sección en su sección system.web en su web.config:
<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />
Inspirado por este artículo de CodingHorror, " Proteger tus cookies: HttpOnly "
¿Cómo estableces esta propiedad? En algún lugar de la configuración web?
Curiosamente, poner <httpCookies httpOnlyCookies="false"/>
no parece deshabilitar httpOnlyCookies
en ASP.NET 2.0. Consulte este artículo sobre SessionID y Problemas de inicio de sesión con ASP .NET 2.0 .
Parece que Microsoft tomó la decisión de no permitir que lo desactives desde la web.config. Verifique esta publicación en forums.asp.net
Si desea hacerlo en código, use la propiedad System.Web.HttpCookie.HttpOnly .
Esto es directamente de los documentos de MSDN:
// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);
Hacerlo en código le permite seleccionar selectivamente qué cookies son HttpOnly y cuáles no.
Si está utilizando ASP.NET 2.0 o superior, puede activarlo en el archivo Web.config. En la sección <system.web>, agregue la siguiente línea:
<httpCookies httpOnlyCookies="true"/>