@Spongeboy На самом деле это даже не так в этих сценариях. Если бы был человек в середине, у них уже была бы копия куки, прежде чем сервер вернул код состояния перенаправления.
ановил для файла cookie .ASPXAUTH только https, но я не уверен, как эффективно сделать то же самое с ASP.NET_SessionId.
Весь сайт использует HTTPS, поэтому нет необходимости, чтобы cookie работал как с http, так и с https.