[英]Possible disadvantages of using cookieless forms authentication ticket in Asp.Net
如果我使用
<authentication mode="Forms">
<forms
cookieless="UseUri"
slidingExpiration="true"
timeout="60"
/>
</authentication>
完成此更改后。作為匿名用戶訪問時,URL將與之前完全一樣。 例如,訪問Default.aspx頁面時,我的瀏覽器地址欄顯示以下URL:
http://localhost:2448/default.aspx
但是,登錄后,表單身份驗證票證將嵌入到URL中。 例如,在訪問登錄頁面並以Sam身份登錄后,我返回到Default.aspx頁面,但這次的URL是:
http://localhost:2448/(F(jaIOIDTJxIr12xYS-VVgkqKCVAuIoW30Bu0diWi6flQC-FyMaLXJfow_Vd9GZkB2Cv-rfezq0gKadKX0YPZCkA2))/default.aspx
注意:由於身份驗證票證直接嵌入到URL中,因此無cookie驗證票證更容易發生重放攻擊。 想象一下,用戶訪問網站,登錄,然后將URL粘貼到同事的電子郵件中。 如果同事在到期前點擊該鏈接,他們將以發送電子郵件的用戶身份登錄!
如果我使用無cookie身份驗證,這是一個可能的缺點,我有興趣知道這種方法的其他可能的缺點。
謝謝
缺點:
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.