ASP.net安全cookie的安全性如何
[英]How secure are ASP.net security cookies
問題描述
我的理解是ASP生成一個cookie來驗證會話。 但是,如果該cookie是通過非https頻道來回發送的,我不能僅僅通過欺騙cookie來欺騙它嗎? cookie可以鎖定到特定的IP或其他機器指紋嗎?
2 個解決方案
解決方案1
4 已采納 2013-02-04 21:34:13
ASP.NET中的會話未經過身份驗證 - 身份驗證完全獨立。 通過獲取會話cookie並重新創建它是的,您可以劫持會話,如果您取消身份驗證cookie,那么您可以作為用戶進行身份驗證(這是默認情況下身份驗證cookie到期的原因) - 請參閱http://msdn.microsoft .COM / EN-US /庫/ ms178581.aspx
安全說明很清楚;
SessionID值以明文形式發送,無論是作為cookie還是作為URL的一部分。 惡意用戶可以通過獲取SessionID值並將其包含在對服務器的請求中來訪問另一個用戶的會話。 如果要以會話狀態存儲敏感信息,建議您使用SSL加密瀏覽器和包含SessionID值的服務器之間的任何通信。
解決方案2
1 2013-02-04 21:45:21
在我上一份工作中,我們通過在數據庫中跟蹤用戶的會話ID(我們在URL中附加guid作為查詢字符串,還有其他方法)解決了這個問題,我們還將存儲發出請求的IP地址。 對於所有后續請求(具有會話ID的任何內容,需要獲取任何敏感信息),我們只需檢查會話ID和ip,根據我們進行身份驗證和設置會話時存儲的值進行請求。 Request.UserHostAddress更難以欺騙。 有一些開銷,但它比cookie更安全。
當ASP.NET Web應用程序設置Cookie時,它的安全性如何?
[英]How secure are Cookies when set by an ASP.NET web application?
如果 Web.Config 保護所有 cookies,我怎么不能在 Asp.Net 中保護一個 cookies?
[英]How can I not secure one cookies in Asp.Net if Web.Config secure all cookies?
從服務器收到的Cookie是安全的,但是發送到服務器的Cookie是不安全的ASP.NET
[英]Cookies received from Server is Secure But Cookies sent to Server is not secure ASP.NET
如何在ASP.NET中將“S_pers”和“s_sess”cookie標記為安全?
[英]How to mark “S_pers” and “s_sess” cookies as secure in ASP.NET?
如何在 ASP.NET MVC 網站中為 cookie 設置“安全”標志?
[英]How can I set the 'secure' flag for cookies in an ASP.NET MVC website?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
asp.net 安全 cookie
ASP.NET 中的安全 Cookie
安全cookie ASP.NET
當ASP.NET Web應用程序設置Cookie時,它的安全性如何?
如果 Web.Config 保護所有 cookies,我怎么不能在 Asp.Net 中保護一個 cookies?
ASP.NET中的安全Cookie未添加安全標志
通過HTTPS在ASP.NET中保護會話cookie
從服務器收到的Cookie是安全的,但是發送到服務器的Cookie是不安全的ASP.NET
如何在ASP.NET中將“S_pers”和“s_sess”cookie標記為安全?
如何在 ASP.NET MVC 網站中為 cookie 設置“安全”標志?
相關標簽