У меня есть веб-приложение, использующее ADFS для процесса аутентификации. При внедрении CSRF в приложение я столкнулся с URL-адресом: http://www.asp.net/mvc/overview/security/xsrfcsrf-prevention-in-aspnet-mvc-and-web-pages, в котором говорится, что установка requiressl = true - хорошая профилактика.Имеет ли параметр requiressl = true какое-либо влияние на loadbalancer или F5
В настоящее время приложение имеет следующие в web.config:
<microsoft.identityModel>
<federatedAuthentication>
<cookieHandler requireSsl="false" />
</federatedAuthentication>
В соответствии с упомянутой выше статье я поставил RequireSSL = верно.
Может ли кто-нибудь помочь мне узнать, есть ли какое-либо влияние или какие-либо известные проблемы на уровне loadbalacer или F5 с этой настройкой?
С приведенным выше изменением я столкнулся с ошибкой ADFS: ID1059: Не удается аутентифицировать пользователя, поскольку схема URL не является https, а requireSsl имеет значение true в конфигурации, поэтому cookie аутентификации не будет отправлен. Измените схему URL на https или установите requireSsl в false в элементе cookieHandler в конфигурации. –