httpCookies 元素(ASP.NET 设置架构)
配置 Web 应用程序所使用的 Cookie 的属性。
<httpCookies domain="String"
httpOnlyCookies="true|false"
requireSSL="true|false" />
特性和元素
以下几节描述了属性、子元素和父元素。
特性
特性 |
说明 |
|---|---|
domain |
可选的 String 特性。 设置 Cookie 域名。 |
httpOnlyCookies |
可选的 Boolean 特性。 在 Internet Explorer 6 SP1 中启用 HttpOnlyCookies Cookie 的输出。 默认值为 false。 |
requireSSL |
可选 Boolean 特性。 获取一个指示是否需要安全套接字层 (SSL) 通信的值。 默认值为 false。 .gif "注意") 注意
该设置将被公开 requireSSL 配置的任何其他功能(如 authentication 的 forms 元素(ASP.NET 设置架构))重写。
|
子元素
无。
父元素
元素 |
说明 |
|---|---|
configuration |
公共语言运行时和 .NET Framework 应用程序所使用的每个配置文件中均需要的根元素。 |
system.web |
指定配置文件中 ASP.NET 配置设置的根元素。 包含各种配置元素,这些配置元素配置 ASP.NET Web 应用程序并控制这些应用程序的行为方式。 |
备注
Internet Explorer 在 Internet Explorer 6 SP1 中新增了对名为 HttpOnlyCookies 的 Cookie 属性的支持,这样可以帮助减轻脚本跨站点时所导致的 Cookie 被盗取的威胁。 如果兼容的浏览器接收某个 Cookie,而该 Cookie 的 HttpOnlyCookies 已设置为 true,则客户端脚本无法访问该 Cookie。 有关可能的攻击以及此 Cookie 属性如何帮助减少这些攻击的更多信息,请参见位于 MSDN 上的 “Mitigating Cross-Site Scripting with HTTP-Only Cookies”(减轻对仅限 HTTP 的 Cookie 的跨站点脚本威胁)教程。
默认配置
下面的默认 httpCookies 元素不是在计算机配置文件或根 Web.config 文件中显式配置的,而是由 .NET Framework 版本 2.0 中的应用程序返回的默认配置。
<httpCookies httpOnlyCookies="false"
requireSSL="false"
domain="" />
示例
下面的示例为 ASP.NET 应用程序配置 Cookie。
<httpCookies httpOnlyCookies="false"
requireSSL="false" />
元素信息
配置节处理程序 |
|
配置成员 |
|
可配置的位置 |
Machine.config 根级别的 Web.config 应用程序级别的 Web.config 虚拟或物理目录级别的 Web.config |
要求 |
IIS 版本 5.0、5.1 或 6.0 .NET Framework 版本 1.0、1.1 或 2.0 Visual Studio 2003 或 Visual Studio 2005 |