开发者社区安全文章正文

IBM AppScan 安全扫描：加密会话（SSL）Cookie 中缺少 Secure 属性处理办法

2014-06-28 8259

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

问题描述：

原因分析：

服务器开启了Https时，cookie的Secure属性应设为true；

解决办法：

1.服务器配置Https SSL方式，参考：https://support.microsoft.com/kb/324069/zh-cn

2.修改web.config，添加:

< system.web >
< httpCookies httpOnlyCookies = "true" requireSSL = "true" / >
< system.web >

See: http://msdn.microsoft.com/en-us/library/ms228262(v=vs.100).aspx

3.修改后台写Cookies时的设置 cookie.Secure = true：

HttpResponse response = HttpContext.Current.Response;

var cookie = new HttpCookie(key, value);

cookie.HttpOnly = true;

cookie.Path = "/";

cookie.Expires = DateTime.Now.AddHours(1);

cookie.Secure = true;

response.AppendCookie(cookie);

参考网站：http://stackoverflow.com/questions/5978667/how-to-secure-the-asp-net-sessionid-cookie

文章标签：

密钥管理服务

网络安全

数据安全/隐私保护

安全

关键词：

会话cookie

安全密钥管理服务

安全SSL

密钥管理服务安全

SSL secure

清山

凉凉心.

6月前

JSON JavaScript Java

【GoGin】（4）会话控制与参数验证：Cookie使用、Sessions使用、结构体验证参数、自定义验证参数

1. Cookie介绍 HTTP是无状态协议，服务器不能记录浏览器的访问状态，也就是说服务器不能区分两次请求是否由同一个客户端发出 Cookie就是解决HTTP协议无状态的方案之一，中文是小甜饼的意思 Cookie实际上就是服务器保存在浏览器上的一段信息。浏览器有了Cookie之后，每次向服务器发送请求时都会同时将该信息发送给服务器，服务器收到请求后，就可以根据该信息处理请求 Cookie由服务器创建，并发送给浏览器，最终由浏览器保存

凉凉心.

307 5 5

游客xxxp5b4cwdiqa

安全算法网络协议

解析：HTTPS通过SSL/TLS证书加密的原理与逻辑

HTTPS通过SSL/TLS证书加密，结合对称与非对称加密及数字证书验证实现安全通信。首先，服务器发送含公钥的数字证书，客户端验证其合法性后生成随机数并用公钥加密发送给服务器，双方据此生成相同的对称密钥。后续通信使用对称加密确保高效性和安全性。同时，数字证书验证服务器身份，防止中间人攻击；哈希算法和数字签名确保数据完整性，防止篡改。整个流程保障了身份认证、数据加密和完整性保护。

游客xxxp5b4cwdiqa

1837 3 3

sunrr

安全网络安全数据安全/隐私保护

SSL/TLS证书**是一种用于加密网络通信的数字证书

sunrr

689 6 6

星兽

9月前

存储安全

Cookie会话跟踪的原理？

会话跟踪常用方案包括Cookie、Session和令牌技术。Cookie是客户端跟踪方式，存储在浏览器中。首次访问服务器时，服务器通过Set-Cookie响应头发送Cookie，浏览器将其保存。后续请求中，浏览器自动在请求头Cookie中携带该值，实现会话识别。但因Cookie存于客户端，用户可修改或禁用，安全性较低。

星兽

359 0 0

游客7uiveyw3yafg6

安全算法网络安全

数字时代的“安全结界”与“票房神话”：从SSL证书到《哪吒之魔童闹海》的技术与人性共振

**简介：** 在2025年，全球互联网加密流量占比飙升至60%，SSL证书成为互联网“新基建”，从电商支付到社交聊天，保障数据安全。其通过加密技术（如RSA或ECC）防止信息窃取，DV、OV、EV等级别确保不同场景的安全性。SSL证书的普及源于隐私保护需求，市场呈现分层竞争。同时，《哪吒之魔童闹海》以48.39亿票房展现信任重构，其成功与SSL证书的技术逻辑异曲同工，强调内容与技术并重。两者共同揭示了数字时代“可信度”与“体验感”的双重加持，预示着未来赢家需将技术与人文融合。

游客7uiveyw3yafg6

305 11 11

游客7uiveyw3yafg6

安全算法网络安全

SSL/TLS：构建数字世界的加密长城

**协议演进：从网景实验室到全球标准** 1994年，网景公司推出SSL协议，首次实现40位密钥加密传输，开启网络安全新纪元。此后，SSL 3.0、TLS 1.0相继问世，至2018年TLS 1.3将握手速度提升60%，强制前向加密确保历史会话安全。TLS协议通过非对称加密、对称加密和证书信任链等多层架构保障通信安全。2014年POODLE漏洞促使全行业禁用SSL 3.0，催生防降级机制。

游客7uiveyw3yafg6

509 8 8

游客7uiveyw3yafg6

安全算法物联网

SSL/TLS：互联网通信的加密基石与安全实践

**简介：** 在数字化时代，互联网每天传输海量敏感数据，网络攻击频发。SSL/TLS协议作为网络安全的基石，通过加密技术确保数据安全传输。本文解析SSL/TLS的技术架构、密码学原理、应用场景及常见误区，探讨其在未来的发展趋势，强调持续演进以应对新型威胁的重要性。 SSL/TLS不仅保障Web安全，还广泛应用于API、邮件、物联网等领域，并遵循合规标准如PCI DSS和GDPR。

游客7uiveyw3yafg6

817 2 2

JOYSSL爆爆

安全搜索推荐网络安全

免费SSL证书：一键加密，守护网站安全

在互联网时代，网站安全至关重要。SSL证书是保护网站数据传输安全的核心工具，提供数据加密、提升信任度、提高搜索引擎排名及避免“不安全”警告等多重优势。现在，您可以通过JoySSL官网免费获取SSL证书，只需注册并填写注策码（230907），即可一键加密，轻松守护网站安全，提升用户体验和品牌形象。立即行动，为您的网站穿上“安全防护衣”！

JOYSSL爆爆

444 11 11

游客h32k5knbm4dwi

安全应用服务中间件网络安全

实战经验分享：利用免费SSL证书构建安全可靠的Web应用

本文分享了利用免费SSL证书构建安全Web应用的实战经验，涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性，增强用户信任。

游客h32k5knbm4dwi

277 1 1

WangBai

存储安全

Cookie会话跟踪的原理

会话跟踪技术包括Cookie和Session。Cookie是客户端技术，首次访问时服务器通过Set-Cookie响应头发送Cookie，浏览器保存并在后续请求中通过Cookie请求头回传，实现会话跟踪。但Cookie易被用户修改或禁用，安全性较低。Session则是服务器端技术，每次会话生成唯一的Session ID，通过Cookie传递给客户端，客户端在后续请求中携带此ID，服务器据此识别会话。Session更安全，但在集群环境中需解决会话共享问题。

WangBai

529 1 1

IBM AppScan 安全扫描：加密会话（SSL）Cookie 中缺少 Secure 属性处理办法

热门文章

最新文章

相关电子书

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

IBM AppScan 安全扫描：加密会话（SSL）Cookie 中缺少 Secure 属性 处理办法

热门文章

最新文章

相关电子书

IBM AppScan 安全扫描：加密会话（SSL）Cookie 中缺少 Secure 属性处理办法