在Asp.Net中使用cookieless表單身份驗證票證的可能缺點
[英]Possible disadvantages of using cookieless forms authentication ticket in Asp.Net
問題描述
如果我使用
<authentication mode="Forms">
<forms
cookieless="UseUri"
slidingExpiration="true"
timeout="60"
/>
</authentication>
完成此更改后。作為匿名用戶訪問時,URL將與之前完全一樣。 例如,訪問Default.aspx頁面時,我的瀏覽器地址欄顯示以下URL:
http://localhost:2448/default.aspx
但是,登錄后,表單身份驗證票證將嵌入到URL中。 例如,在訪問登錄頁面並以Sam身份登錄后,我返回到Default.aspx頁面,但這次的URL是:
http://localhost:2448/(F(jaIOIDTJxIr12xYS-VVgkqKCVAuIoW30Bu0diWi6flQC-FyMaLXJfow_Vd9GZkB2Cv-rfezq0gKadKX0YPZCkA2))/default.aspx
注意:由於身份驗證票證直接嵌入到URL中,因此無cookie驗證票證更容易發生重放攻擊。 想象一下,用戶訪問網站,登錄,然后將URL粘貼到同事的電子郵件中。 如果同事在到期前點擊該鏈接,他們將以發送電子郵件的用戶身份登錄!
如果我使用無cookie身份驗證,這是一個可能的缺點,我有興趣知道這種方法的其他可能的缺點。
謝謝
1 個解決方案
解決方案1
4 已采納 2012-04-11 11:43:35
缺點:
- 可存儲在URL中的有限數據量(特別是在移動和Windows 2003平台中)
- Cookie重放攻擊(您已經提到過) - 可以使用ssl避免,並限制使用超時。
- 您的網址看起來很長,而不是“整潔”。
ASP.NET,表單身份驗證票證是否可能在代碼后面的例程中超時?
[英]ASP.NET, Is it possible for forms authentication ticket to timeout in the middle of code behind routine?
ASP.NET 4.7表單身份驗證失敗,提供的票證無效
[英]ASP.NET 4.7 Forms Authentication Failure, Ticket supplied was invalid
為什么ASP.NET在一個給定的用戶瀏覽器中使用無cookie表單身份驗證
[英]Why does ASP.NET uses cookieless forms authentication in one given user's browser
使用ASP.NET登錄控件時是否可以手動設置身份驗證票證?
[英]Is it possible to set the Authentication Ticket manually when using the ASP.NET Login Control?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.