В моей установке веб-проекта для включения httpOnlyCookies не там. Это - ложь по умолчанию. Также нет никакого места в коде, где cookie устанавливается на HttpOnly. Однако то, когда я просматриваю на сайт I, видит, что cookie asp NET_Session передается как HttpOnly. Как это установлено на HttpOnly?
Куки сеанса ASP.NET являются только HTTP, независимо от настройки httpOnlyCookies
, на которую вы ссылаетесь в своем вопросе, поскольку это записано в ASP.NET. Вы не можете отменить это.
Если вы покопаетесь в классе System.Web.SessionState.SessionIDManager
в сборке System.Web, код для создания куки сессии ASP.NET выглядит так:
private static HttpCookie CreateSessionCookie(string id)
{
HttpCookie cookie = new HttpCookie(Config.CookieName, id);
cookie.Path = "/";
cookie.HttpOnly = true; // <-- burned in
return cookie;
}
Это HttpOnly, поэтому ваш файл cookie сеанса не может быть изменен клиентом с помощью JavaScript.