Как защитить токен .ASPXAUTH

Ответ 1

Непосредственно из msdn docs:

Чтобы предотвратить блокировку файлов cookie для проверки подлинности, подделанные при пересечении сети, убедитесь, что вы используете SSL с все страницы, требующие аутентифицированного доступа и ограничивающие формы аутентификации на SSL-каналы, установив requireSSL="true" on элемент <forms>.

Чтобы запретить использование файлов cookie для проверки подлинности для SSL-каналов, установите requireSSL="true" в элементе <forms>, как показано в следующем коде:

<forms loginUrl="Secure\Login.aspx" requireSSL="true" ... />

Установив requireSSL="true", вы устанавливаете свойство безопасного файла cookie, которое определяет, должны ли браузеры отправлять cookie обратно в сервер. С защищенным набором свойств cookie отправляется браузер только на защищенную страницу, запрашиваемую с использованием URL-адреса HTTPS.

Примечание.. При использовании requireSSL="true" cookie auth отправляется только на страницы, запрошенные через SSL. Поэтому, если вы нажмете страницу через HTTP (не SSL), может показаться, что вы не вошли в систему. В этой статье рассказывается о проблеме и предлагается решение, поскольку оно относится к сайту SharePoint (но теория может быть передана): Защита файла cookie аутентификации для смешанных сайтов SSL SharePoint