Файл cookie сеанса нельзя снять с защиты, когда веб-приложение ASP.NET Core 8.0 работает в IIS.

Файл cookie сеанса нельзя снять с защиты, когда веб-приложение ASP.NET Core 8.0 работает в IIS. ⇐ C#

1 сообщение • Страница 1 из 1

Anonymous

Файл cookie сеанса нельзя снять с защиты, когда веб-приложение ASP.NET Core 8.0 работает в IIS.

Цитата

Сообщение Anonymous » 22 июн 2024, 13:45

После добавления приведенной ниже конфигурации в Startup.cs веб-приложения ASP.NET Core MVC, ориентированного на .NET 8.0:

Код: Выделить всё

services.AddSession(options =>
{
options.IdleTimeout = TimeSpan.FromMinutes(50);
options.Cookie.IsEssential = true;
options.Cookie.HttpOnly = true;
options.Cookie.SameSite = SameSiteMode.Strict;
});

...

app.UseSession();

приложением, развернутым на сервере IIS 8.5 (Windows Server 2012 R2), регистрируются сотни таких предупреждений:

https://example.com/Login: ошибка при снятии защиты файла cookie сеанса.
Logger: Microsoft.AspNetCore.Session.SessionMiddleware
Callsite: Microsoft .AspNetCore.Session.CookieProtection.Unprotect
Исключение: System.Security.Cryptography.CryptographicException:
ключ {x-y-z} не найден в связке ключей. Для получения дополнительной информации перейдите
по адресу https://aka.ms/aspnet/dataprotectionwarning по адресу
Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.UnprotectCore(Byte[]
protectedData, BooleanallowOperationsOnRevokedKeys, UnprotectStatus&
статус) в
Microsoft.AspNetCore.Session.CookieProtection.Unprotect(IDataProtector
protector, String protectedText, регистратор ILogger)

Код: Выделить всё

Session

используется только для хранения списка объявлений, которые будут отображаться пользователю после входа в систему:

Код: Выделить всё

[HttpPost]
public async Task Login(...)
{
...
await announcementService.BuildAnnouncementsFor(user);
...
}

В конечном итоге BuildAnnoucementsFor сохраняет список объявлений (т. е. строк) для сеанса с помощью IHttpContextAccessor.HttpContext.Session, который настраивается следующим образом:

Код: Выделить всё

services.AddHttpContextAccessor();

services.AddSingleton();

Я уже настроил загрузку профиля пользователя в конфигурации IIS, поскольку DataProtection, похоже, связана с проблемой, и когда пул приложений был (пере)запущен, появилось следующее предупреждение также был зарегистрирован:

Ни профиль пользователя, ни реестр HKLM недоступны. Использование хранилища эфемерных
ключей. Защищенные данные будут недоступны после
закрытия приложения.

В приведенном выше последнем предупреждении исчезло, но SessionMiddleware все еще предупреждает о Ключ шифрования не найден в связке ключей. Действительно, ключи, указанные в предупреждениях, не находятся в папке C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys, где IIS по умолчанию ищет ключи.
Мне бы очень хотелось, чтобы эти предупреждения исчезли, но я не знаю, что еще нужно настроить — в коде или в IIS.

Подробнее здесь: https://stackoverflow.com/questions/786 ... -runs-on-i

1719053125

Anonymous

После добавления приведенной ниже конфигурации в Startup.cs веб-приложения ASP.NET Core MVC, ориентированного на .NET 8.0:
[code]services.AddSession(options =>
{
options.IdleTimeout = TimeSpan.FromMinutes(50);
options.Cookie.IsEssential = true;
options.Cookie.HttpOnly = true;
options.Cookie.SameSite = SameSiteMode.Strict;
});

...

app.UseSession();
[/code]
приложением, развернутым на сервере IIS 8.5 (Windows Server 2012 R2), регистрируются сотни таких предупреждений:

https://example.com/Login: ошибка при снятии защиты файла cookie сеанса.
Logger: Microsoft.AspNetCore.Session.SessionMiddleware
Callsite: Microsoft .AspNetCore.Session.CookieProtection.Unprotect
Исключение: System.Security.Cryptography.CryptographicException:
ключ {x-y-z} не найден в связке ключей.  Для получения дополнительной информации перейдите
по адресу https://aka.ms/aspnet/dataprotectionwarning по адресу
Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.UnprotectCore(Byte[]
protectedData, BooleanallowOperationsOnRevokedKeys, UnprotectStatus&
статус) в
Microsoft.AspNetCore.Session.CookieProtection.Unprotect(IDataProtector
protector, String protectedText, регистратор ILogger)

[code]Session[/code] используется только для хранения списка объявлений, которые будут отображаться пользователю после входа в систему:
[code][HttpPost]
public async Task Login(...)
{
...
await announcementService.BuildAnnouncementsFor(user);
...
}
[/code]
В конечном итоге BuildAnnoucementsFor сохраняет список объявлений (т. е. строк) для сеанса с помощью IHttpContextAccessor.HttpContext.Session, который настраивается следующим образом:
[code]services.AddHttpContextAccessor();

services.AddSingleton();
[/code]
Я уже настроил загрузку профиля пользователя в конфигурации IIS, поскольку DataProtection, похоже, связана с проблемой, и когда пул приложений был (пере)запущен, появилось следующее предупреждение также был зарегистрирован:

Ни профиль пользователя, ни реестр HKLM недоступны. Использование хранилища эфемерных
ключей.  Защищенные данные будут недоступны после
закрытия приложения.

В приведенном выше последнем предупреждении исчезло, но SessionMiddleware все еще предупреждает о Ключ шифрования не найден в связке ключей. Действительно, ключи, указанные в предупреждениях, не находятся в папке C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys, где IIS по умолчанию ищет ключи.
Мне бы очень хотелось, чтобы эти предупреждения исчезли, но я не знаю, что еще нужно настроить — в коде или в IIS. 

Подробнее здесь: [url]https://stackoverflow.com/questions/78655514/the-session-cookie-cannot-be-unprotected-when-asp-net-core-8-0-web-app-runs-on-i[/url]