Web.config文件中关于Cookie安全性的考量和设置

cookie的内容，如图所示:

HTTP response header:

Set-Cookie: <name>=<value>[; <Max-Age>=<age>][; expires=<date>][; domain=<domain_name>]=[; path=<some_path>][; secure][; HttpOnly]

1                      2                                   3                                4                                5                            6            7

由上面可以看到，一个Cookie包含上面7个信息

1) Cookie名称:  cookie名称必须使用只能用在URL中的字符。 一般用字母和数字，不能包含特殊字符。

2) Cookie的值: 该值可以进行转码和加密 (javascript中通过escape,unescape进行转码)

3) Expires： 这个Cookie的过期日期，是一个GMT格式的时间。当过了这个时间之后，浏览器就会将这个Cookie删除掉. 如果没有这个设置，Cookie会在浏览器关闭后消失。

4) Domain:  子域，指定在该子域才可以访问Cookie. 比如要让Cookie在a.test.com下可以访问，但在b.test.com下不能访问，则可以将domain设置成a.test.com

5) Path: 一个路径，在这个路径下面的页面才可以访问该Cookie. 一般设为"/", 以此表示同一个站点的所有页面都可以访问这个Cookie.

6)Secure: 安全性，指定Cookie是否只能通过https协议访问。一般的Cookie使用http协议就可以访问。如果设置Secure值为true,则只有当使用https协议连接时，该Cookie才可以被页面访问.

7) HttpOnly：  这个属性设置很重要，设置了HttpOnly=true, 就限制了非HTTP的API(eg: javascript,applet)访问该cookie. 也就是说通过程序(JS脚本，Applet等)将无法读取到该Cookie信息。这个设置，就防止了javascipt等脚本语言的XSS(跨站脚本攻击).

因为HttpOnly=true时，前端脚本就无法访问或操作cookie了(只能通过后台访问)，这样XSS就失效了。但cookie在传递过程中被盗窃的威胁并没有解除(需要设置Secure属性). 另外，该项设置仅仅适用于会话管理的Cookie,而不是其他的浏览器        Cookies.

setcookie("abc","test",NULL,NULL,NULL,NULL,TRUE);
<script>alert(document.cookie);</script>
这里，弹出的框里面，什么内容都没有

setcookie("abc","test");
<script>alert(document.cookie);</script>
这里，弹出的框里面，有这个cookie的值

现在，我们再来说说第(6)个属性，secure属性

当设置为true时，表示创建的Cookie会被以安全的形式向服务器传输，也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证。如果连接是HTTP连接，则不会传递该信息，也就不会盗取到Cookie的具体内容.

所以：

secure属性是防止信息在传递的过程中被监听捕获后信息泄漏。 6号位true

HttpOnly属性的目的是防止前端脚本程序获取cookie后进行攻击。7号位true

在.net项目的web.config中, 在<system.web></system.web>节点中增加内容：

<httpCookies httpOnlyCookies="true" requireSSL="true"/>

来实现这个设置.