Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年2月28日
最終更新日:2013年3月1日

ASP.NET 2.0 からセッション ID の HttpOnly 属性が有効になっている

ASP.NET 2.0 から HttpOnly 属性がサポートされ、セッション ID の HttpOnly 属性はデフォルトで有効になったようです。

Forms Authentication Cookies

HttpOnly. This property specifies whether the cookie can be accessed by client script. In ASP.NET 2.0, this value is always set to true.

http://msdn.microsoft.com/en-us/library/aa480476.aspx

 

ASP.NET 2.0 and the new HTTP-only property

This property is already set by default for Authentication and Sessions cookies in ASP.NET 2.0 but not for manually issued cookies.

http://blogs.msdn.com/b/dansellers/archive/2006/03/13/550947.aspx

実際に、ASP.NET 4.0 のレスポンスヘッダーを確認すると、HttpOnly 属性が有効になっていることが分かります。


スポンサーリンク




カテゴリー:ASP.NET

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA