将ASPNET_SessionId值留在html隐藏字段,任何安全问题
本文关键字:字段 隐藏 任何 问题 安全 html ASPNET SessionId | 更新日期: 2023-09-27 18:07:30
离开ASP是否存在安全问题?. NET会话ID值在html隐藏字段?
它是为了解决问题时使用上传,这是基于flash的工作,并有已知的问题(这个链接,寻找'步骤6')在发送正确的cookie到服务器通过ajax请求,所以我有问题时,试图对我的会话基于身份验证过程进行身份验证。
通过将SessionId值放在一个隐藏的字段中,它允许我在全局上获取正确的值和一些代码。
我做错了什么吗?顺便说一句,我使用128位ssl加密。
谢谢! !
编辑:关键是,如果会话id总是存在于https post/request中,如果我将它们存储为post参数或在http请求中开始发送的cookie值有什么区别?如果有人拦截我的请求并获得我的SessionId可以很容易地绕过安全,实现身份验证的最佳方法是什么?
是,任何获得会话id的人都可以访问该用户的会话。这是一个很大的安全风险,更糟糕的是,许多人错误地将其用于自定义身份验证(您似乎正在这样做)。
通过将其写入页面,您可以通过XSS技术和其他技术更容易窃取。会话根本不安全,这就是为什么。net有自己的身份验证方案,使用加密并完全与会话分离。
我可以给你发一个链接,设置你的cookie,等你登录,分享相同的cookie,访问你的所有详细信息,就像我是你一样。会话Id是一个随机令牌,根本没有加密。
实现身份验证的方法是通过. net身份验证cookie,也可以选择使用MembershipProvider。这将基于服务器唯一的机器密钥创建一个加密的cookie。只有这个服务器可以解密cookie以验证用户。如果有人强迫你使用会话ID,或者窃取会话ID,他们仍然不能以你的身份进行身份验证。
当然,有人也可以窃取你的身份验证cookie,但有一个选项是只通过SSL提供cookie来防止这种情况,而且由于加密,它不能强加给你。
它确实打开了一个安全漏洞,但它与使用将会话ID存储在URL中的无cookie会话没有什么不同。
使用HTTPS有帮助