Jak dokładnie skonfigurować httpOnlyCookies w ASP.NET?

Z rekwizytami do Ricka (drugi komentarz w poście na blogu), oto artykuł MSDN na httpOnlyCookies.

Najważniejsze jest to, że wystarczy dodać następującą sekcję w systemie.sekcja www w Twojej sieci.config:

<httpCookies domain="" httpOnlyCookies="true|false" requireSSL="true|false" />

Jeśli chcesz to zrobić w kodzie, użyj systemu .Www.HttpCookie.Właściwość HttpOnly .

Jest to bezpośrednio z dokumentów MSDN:

// Create a new HttpCookie.
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// By default, the HttpOnly property is set to false 
// unless specified otherwise in configuration.
myHttpCookie.Name = "MyHttpCookie";
Response.AppendCookie(myHttpCookie);
// Show the name of the cookie.
Response.Write(myHttpCookie.Name);
// Create an HttpOnly cookie.
HttpCookie myHttpOnlyCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());
// Setting the HttpOnly value to true, makes
// this cookie accessible only to ASP.NET.
myHttpOnlyCookie.HttpOnly = true;
myHttpOnlyCookie.Name = "MyHttpOnlyCookie";
Response.AppendCookie(myHttpOnlyCookie);
// Show the name of the HttpOnly cookie.
Response.Write(myHttpOnlyCookie.Name);

Robienie tego w kodzie pozwala selektywnie wybrać, które Pliki cookie są HttpOnly, a które nie.

Ciekawe umieszczenie <httpCookies httpOnlyCookies="false"/> nie wydaje się wyłączać httpOnlyCookies w ASP.NET 2.0. Sprawdź ten artykuł o SessionID i problemach z logowaniem w ASP.net 2.0.

Wygląda na to, że Microsoft podjął decyzję, aby nie zezwolić na wyłączenie go z sieci.config. Sprawdź ten post na forums.asp.net