[英]If HTTP is stateless, how does ASP.NET MVC support sessions?
我使用viewstate得到了常規的ASP finagles statefullness,但是MVC並沒有試圖使有狀態的大膽謊言永久化。 那么如何才能維持會話?
默認情況下,它會將隨機生成的數字存儲在cookie中並將其存儲在內存中。 如果瀏覽器說它不支持cookie,那么asp.net會在網址中添加會話密鑰,它會顯示為http://myurl.com/(S(rpfa4y3c5oe2c555ljanprek))/Controller/Action
它使用Session ID
來識別存儲在Cookie中的用戶。 如果您知道受害者的ID,並且其他安全測量不會干擾(例如基於IP的身份驗證),則可以進行欺騙。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.