IT業界のすみっこ暮らし

ふと気がついたときの記録

ASP.NET MVC:logout時のcookieセキュア対応について

ログイン時のCookieのセキュア設定

f:id:papamau:20171107185739p:plain

うん、問題ない。

ログアウト時のCookieのセキュア設定

f:id:papamau:20171107185711p:plain

ログアウトされたので、Cookieの値は空。

でも、値がないとは言え、HttpOnly設定もSecureも設定されていない。

設定は以下の記事通り設定済み。

pie001.hatenablog.com

ふと不安になって調べてみた

stackoverflow.com

要はlogoutでCookieを削除するときは値に空が設定されるのでもう敏感なデータはCookieから削除されている。よって悪い人が何かやろうとしても出来ないんで特に設定する必須はない。

結論

このままで問題ない。

恐らくCookieに値があるときのみ、設定が有効になるのではないかと思われるが、これの調査はまた後日で。