Asp.net会话固定(Asp.net sessionid)
本文关键字:Asp net sessionid 会话 | 更新日期: 2023-09-27 17:53:24
Asp.net_SessionId是系统默认生成的。当这个值从一个浏览器复制到另一个用户时,自动访问登录凭据内的页面。
case:首先,我在一个浏览器(chrome)中使用我的凭据登录。现在我在私人模式下打开相同的浏览器(再次chrome)。现在我将复制登录的浏览器会话值到私人模式,并尝试访问页面,如仪表板,配置文件,设置等。因此,只需复制session值,我就可以访问所有需要登录的页面。
如何预防?请给我一些建议。
我可以在跨浏览器中阻止它,但是我不能在同一个浏览器中阻止它。
我试过了:
我实现了这里描述的技术,但它在我的情况下不起作用。是的,它的工作与两个不同的浏览器,但不是单一的浏览器。
http://www.codeproject.com/Articles/859579/Hack-proof-your-asp-net-applications-from-Session请帮我解决这个问题
当这个值从一个浏览器复制到另一个用户时自动访问登录凭证内的页面。
这取决于您如何验证用户。如果您只是像传统ASP那样使用Session State来跟踪用户身份验证,那么这是正确的。
现在,我们使用ASP。网络身份或表单认证(会员资格提供者)通过SSL,其中令牌被加密,并随处签出功能。因此,在SSL中破解身份验证Cookie并不容易(我不是说不可能)。
在ASP。在asp.net MVC中,我们不需要像在ASP中那样使用会话状态。Net Web Form和经典ASP。此外,在ASP中直接使用会话状态是一种不好的做法。净MVC。
底线是如果你使用ASP。Net身份或表单认证通过SSL,我甚至不会担心它。如果你还没有用过这些,你一定要考虑使用它。