httpCookies 元素(ASP.NET 设置架构)

配置 Web 应用程序所使用的 Cookie 的属性。

<httpCookies domain="String" 
             httpOnlyCookies="true|false" 
             requireSSL="true|false" />

特性和元素

以下几节描述了属性、子元素和父元素。

特性

特性

说明

domain

可选的 String 特性。

设置 Cookie 域名。

httpOnlyCookies

可选的 Boolean 特性。

在 Internet Explorer 6 SP1 中启用 HttpOnlyCookies Cookie 的输出。

默认值为 false。

requireSSL

可选 Boolean 特性。

获取一个指示是否需要安全套接字层 (SSL) 通信的值。

默认值为 false。

注意注意
该设置将被公开 requireSSL 配置的任何其他功能(如 authentication 的 forms 元素(ASP.NET 设置架构))重写。

子元素

无。

父元素

元素

说明

configuration

公共语言运行时和 .NET Framework 应用程序所使用的每个配置文件中均需要的根元素。

system.web

指定配置文件中 ASP.NET 配置设置的根元素。 包含各种配置元素,这些配置元素配置 ASP.NET Web 应用程序并控制这些应用程序的行为方式。

备注

Internet Explorer 在 Internet Explorer 6 SP1 中新增了对名为 HttpOnlyCookies 的 Cookie 属性的支持,这样可以帮助减轻脚本跨站点时所导致的 Cookie 被盗取的威胁。 如果兼容的浏览器接收某个 Cookie,而该 Cookie 的 HttpOnlyCookies 已设置为 true,则客户端脚本无法访问该 Cookie。 有关可能的攻击以及此 Cookie 属性如何帮助减少这些攻击的更多信息,请参见位于 MSDN 上的 “Mitigating Cross-Site Scripting with HTTP-Only Cookies”(减轻对仅限 HTTP 的 Cookie 的跨站点脚本威胁)教程。

默认配置

下面的默认 httpCookies 元素不是在计算机配置文件或根 Web.config 文件中显式配置的,而是由 .NET Framework 版本 2.0 中的应用程序返回的默认配置。

<httpCookies httpOnlyCookies="false" 
  requireSSL="false" 
  domain="" />

示例

下面的示例为 ASP.NET 应用程序配置 Cookie。

<httpCookies httpOnlyCookies="false" 
  requireSSL="false" />

元素信息

配置节处理程序

System.Web.Configuration.HttpCookiesSection

配置成员

SystemWebSectionGroup.HttpCookies

可配置的位置

Machine.config

根级别的 Web.config

应用程序级别的 Web.config

虚拟或物理目录级别的 Web.config

要求

IIS 版本 5.0、5.1 或 6.0

.NET Framework 版本 1.0、1.1 或 2.0

Visual Studio 2003 或 Visual Studio 2005

请参见

任务

如何:使用位置设置配置特定目录

如何:锁定 ASP.NET 配置设置

参考

system.web 元素(ASP.NET 设置架构)

configuration 元素(常规设置架构)

System.Configuration

System.Web.Configuration

概念

ASP.NET 配置文件层次结构和继承

保证 ASP.NET 配置的安全

ASP.NET 配置方案

其他资源

常规配置设置 (ASP.NET)

ASP.NET 配置设置

ASP.NET 网站管理

ASP.NET 配置文件

ASP.NET 配置 API