删除/使服务器端身份验证 cookie/票证无效
[英]Deleting/invalidating server side authentication cookie/ticket
问题描述
我使用 FormAuthentication(.ASPXAUTH) 在 Asp.net 中有一个 web 应用程序。 我正在通过 Burp 套件捕获其中一个请求并将其发送到转发器并在转发器中操作一些参数。 当我从应用程序注销并通过 burp 的转发器发送请求时,即使我已经从应用程序注销,因为 Burp 套件已捕获所有身份验证和 session cookies,因此更改已完成。 有什么方法可以使服务器端捕获的 cookie 无效,以便 burp 套件无法使用捕获的请求进行操作? 我尝试了所有可能的方法,例如Session.Clear()/Session.Abandon(); 没有任何结果,甚至使 session 无效,但没有。
1 个解决方案
解决方案1
0 2021-05-05 17:27:10
如果不执行诸如在服务器端存储随机数、将其与 cookie 一起发布并使身份验证依赖于有效的 cookie + 匹配的随机数之类的操作,我认为这是不可能的。 然后,您将在用户注销时循环使用随机数,并在他们下次登录时使用新的 cookie 发出新的随机数。
这个问题详细介绍了 Forms 身份验证的工作原理以及为什么您需要进行一些服务器端跟踪以实现您想要的:
MVC4-在表单身份验证票证中设置自定义用户数据会导致表单身份验证cookie无法设置吗?
[英]MVC4 - Setting custom user data in forms authentication ticket causes the forms authentication cookie to not get set?
C#MVC 5表单身份验证退出后,票证cookie被清除
[英]C# MVC 5 The ticket cookie is cleared when the form authentication signs out
使用自定义 AuthenticationScheme 进行 Blazor 服务器 cookie 身份验证
[英]Blazor Server cookie authentication with custom AuthenticationScheme
blazor 服务器身份验证不适用于 httpcontext cookie
[英]blazor server authentication dont work with httpcontext cookie
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.