SecureCookies、HTTPOnly Cookies、.Net、およびSSLオフロード
そのため、私は自分のWeb環境にHttpOnlyとSecureCookiesを実装することを検討してきました。ロードバランサーとしてF5を使用し、Webサイト用にiis 7.5でホストされているC#Webアプリケーションをいくつか使用しています。 .netアプリケーションは、古いasp.netレガシーアプリケーションと新しいMVC4アプリケーションです。
変更を実装する方法に関するこの興味深い記事に出くわしました。 http://geekflare.com/f5-irule-to-secure-cookie-with-httponly-and-secure/
私の質問は、ロードバランサーでフラグを設定すると目的が損なわれるのでしょうか?フラグを設定したのがロードバランサーであったとしても、.Netはフラグを尊重しますか?
ありがとう、アレックス
Cookieがssl(セキュア)経由でのみ送信されるようにし、サーバーのみがCookieにアクセスできるようにする(httponly)はクライアント側の保護であるため、サーバーに設定されているか仲介者に設定されているかは関係ありません(BIG-IP )