[谁能告诉我如何让ServiceStack在会话cookie上使用安全属性,以便仅基于基于https的请求发送cookie。这对于帮助防止会话劫持非常重要。到目前为止,我的测试表明,如果在https网站上完成ServiceStack身份验证,它仍会将cookie设置为不安全,这意味着如果站点中存在任何http请求,都可以捕获cookie。
是否有设置或配置可以更改此设置?
您可以使用Config.UseSecureCookies
选项告诉ServiceStack为HTTPS请求中的SessionId添加安全cookie:
SetConfig(new HostConfig {
UseSecureCookies = true
});