IIS下的.net網站，安全掃描提示：加密會話（SSL)Cookie中缺少secure屬性。

問題解釋

Secure屬性：當Cookie設置了Secure屬性后，瀏覽器只會在通過HTTPS協議發起的請求中才會攜帶此Cookie。如果使用的是HTTP請求，則不會發送。這有效防止了竊聽者通過明文的HTTP連接竊取用戶的會話Cookie。

風險：如果您的網站使用了HTTPS，但會話Cookie沒有設置Secure屬性，那么用戶在使用HTTP訪問時（即使被重定向到HTTPS），其會話標識也有可能在不安全的通道中泄露。

修復方法:在web.config中配置

這是最直接、最常用且影響范圍最廣的方法。您只需要修改網站的web.config文件即可。

· 打開您網站根目錄下的 web.config 文件。

· 在 <system.web> 或 <system.webServer> 節點下，找到或添加 <httpCookies> 元素。

· 將 requireSSL 屬性設置為 true。

<configuration>
  <system.web>
    <!-- 其他配置... -->
    
    <!-- 這是關鍵配置：設置所有由ASP.NET發出的Cookie都要求SSL -->
    <httpCookies requireSSL="true" />
    
    <!-- 對于會話狀態Cookie，也可以單獨設置 -->
    <sessionState cookieSameSite="Strict" cookieless="UseCookies" timeout="20" cookieSecure="SslIfRequired" />
    
    <!-- 表單認證的Cookie -->
    <authentication mode="Forms">
      <forms loginUrl="~/Account/Login" timeout="2880" requireSSL="true" />
    </authentication>
  </system.web>
</configuration>

關鍵說明：

<httpCookies requireSSL="true" />： 這行配置會為所有由ASP.NET運行時自動生成的Cookie（包括Session Cookie、Forms Authentication Cookie等）自動加上Secure屬性。

<forms requireSSL="true" />： 如果您使用了表單認證，這是一個額外的、更明確的設置。

<sessionState cookieSecure="SslIfRequired" />： 這個設置專門針對會話Cookie。SslIfRequired 是默認值，通常與頂層的 <httpCookies> 設置配合良好。為了更嚴格，您可以設置為 true。

修改后，請重啟您的網站應用程序池以使配置生效。