会话 cookie 是否足够安全以存储用户 ID

会话 Cookie 仅包含会话 ID。它用于标识用户。它只包含更多内容。此会话的实际信息存储在服务器上。所以这是安全的。用户永远无法更改存储在服务器上的值。如果您将其存储在会话中，则用户无法更改其 ID。

话虽如此，在处理用户 ID 时，您可以考虑使用表单身份验证来跟踪经过身份验证的用户，而不是使用会话重新发明轮子。

ASP.NET 会话状态提供了比客户端状态管理技术重要的安全优势，因为实际状态存储在服务器端，而不是在客户端和HTTP请求路径上的其他网络实体上公开。但是，为了维护应用程序安全性，需要考虑会话状态操作的几个重要方面。安全最佳实践分为三大类：防止会话 ID 欺骗和注入、保护后端中的状态存储，以及确保专用或共享环境中的会话状态部署安全性。

阅读 ： 保护会话状态

这不是cookie，并且非常安全，因为它不能被用户更改。存储在服务器端 cookie 中的唯一内容是会话 ID。

正如其他答案所指出的，实际值（示例中为 37）存储在服务器上，而不是客户端上，但这并不意味着您不受潜在攻击的影响。 此机制仍然容易受到跨站点脚本攻击。 基本上，存储在客户端cookie上的是一些大的长标识符。 如果实际用户以外的其他人获得了该标识符，他们可以将其放入自己的cookie中，并基本上假装是该用户。 您可以自己研究更多的跨站点脚本（我不是该主题的专家），以查看恶意用户尝试查看其他用户的cookie并尝试将其设置为自己的一些常见方式，以及防御此类攻击的方法（我相信其中一些将由浏览器和ASP为您完成）。