ASP.NET MVC Application中如何处理ASP.NET_SessionId Cookie
[英]How to handle ASP.NET_SessionId Cookie in ASP.NET MVC Application
问题描述
我有 Asp.NET MVC 应用程序,它在安全 ID 和密码身份验证后登录。
登录后,当我 go 到 Web 浏览器中的开发人员工具并复制 ASP.NET_SessionId Cookie 并将其粘贴到另一个浏览器中而无需使用 ID 和密码登录时,它会登录。
这个 cookie 是在哪里创建的? 我该如何处理这个漏洞?
1 个解决方案
解决方案1
0 2023-01-12 12:47:47
您正在描述“会话劫持”
您应该确保 ASP.net 需要 https,并且客户端脚本无法访问 cookies,方法是将其添加到 web.config
<httpCookies httpOnlyCookies="true" requireSSL="true" />
您还可以实现类似于本文中的 SecureSessionModule 的东西,它会生成一些额外的措施
注意注意事项
如果定义了Session_Start,ASP.NET如何知道创建ASP.NET_SessionId cookie?
[英]How does ASP.NET know to create the ASP.NET_SessionId cookie if Session_Start is defined?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何保护 ASP.NET_SessionId cookie?
从ASP.NET应用程序中删除ASP.NET_SessionId
使ASP.NET_SessionId cookie不是httpOnly
如果定义了Session_Start,ASP.NET如何知道创建ASP.NET_SessionId cookie?
配置 ASP.NET_SessionId cookie 过期
ASP.NET_SessionId cookie行为说明
ASP.NET_SessionId cookie未定义
ASP.NET会话修复(ASP.NET_sessionid)
仅在生产中缺少ASP.NET_SessionID
如何在自定义成员身份提供程序中保存ASP.NET_SessionId
相关标签