ASP.net安全cookie的安全性如何
[英]How secure are ASP.net security cookies
问题描述
我的理解是ASP生成一个cookie来验证会话。 但是,如果该cookie是通过非https频道来回发送的,我不能仅仅通过欺骗cookie来欺骗它吗? cookie可以锁定到特定的IP或其他机器指纹吗?
2 个解决方案
解决方案1
4 已采纳 2013-02-04 21:34:13
ASP.NET中的会话未经过身份验证 - 身份验证完全独立。 通过获取会话cookie并重新创建它是的,您可以劫持会话,如果您取消身份验证cookie,那么您可以作为用户进行身份验证(这是默认情况下身份验证cookie到期的原因) - 请参阅http://msdn.microsoft .COM / EN-US /库/ ms178581.aspx
安全说明很清楚;
SessionID值以明文形式发送,无论是作为cookie还是作为URL的一部分。 恶意用户可以通过获取SessionID值并将其包含在对服务器的请求中来访问另一个用户的会话。 如果要以会话状态存储敏感信息,建议您使用SSL加密浏览器和包含SessionID值的服务器之间的任何通信。
解决方案2
1 2013-02-04 21:45:21
在我上一份工作中,我们通过在数据库中跟踪用户的会话ID(我们在URL中附加guid作为查询字符串,还有其他方法)解决了这个问题,我们还将存储发出请求的IP地址。 对于所有后续请求(具有会话ID的任何内容,需要获取任何敏感信息),我们只需检查会话ID和ip,根据我们进行身份验证和设置会话时存储的值进行请求。 Request.UserHostAddress更难以欺骗。 有一些开销,但它比cookie更安全。
当ASP.NET Web应用程序设置Cookie时,它的安全性如何?
[英]How secure are Cookies when set by an ASP.NET web application?
如果 Web.Config 保护所有 cookies,我怎么不能在 Asp.Net 中保护一个 cookies?
[英]How can I not secure one cookies in Asp.Net if Web.Config secure all cookies?
从服务器收到的Cookie是安全的,但是发送到服务器的Cookie是不安全的ASP.NET
[英]Cookies received from Server is Secure But Cookies sent to Server is not secure ASP.NET
如何在ASP.NET中将“S_pers”和“s_sess”cookie标记为安全?
[英]How to mark “S_pers” and “s_sess” cookies as secure in ASP.NET?
如何在 ASP.NET MVC 网站中为 cookie 设置“安全”标志?
[英]How can I set the 'secure' flag for cookies in an ASP.NET MVC website?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
asp.net 安全 cookie
ASP.NET 中的安全 Cookie
安全cookie ASP.NET
当ASP.NET Web应用程序设置Cookie时,它的安全性如何?
如果 Web.Config 保护所有 cookies,我怎么不能在 Asp.Net 中保护一个 cookies?
ASP.NET中的安全Cookie未添加安全标志
通过HTTPS在ASP.NET中保护会话cookie
从服务器收到的Cookie是安全的,但是发送到服务器的Cookie是不安全的ASP.NET
如何在ASP.NET中将“S_pers”和“s_sess”cookie标记为安全?
如何在 ASP.NET MVC 网站中为 cookie 设置“安全”标志?
相关标签