ASP.NET中的会话修复
我想知道如何防止ASP.NET中的会话固定攻击(见
http://en.wikipedia.org/wiki/Session_fixation)
我的方法是通常会在有人登录时生成和发出一个新的会话ID.但ASP.NET的这个级别的控制是否可行? 解决方法
一直在做更多的挖掘.在任何Web应用程序中防止会话固定攻击的最佳方法是在用户登录时发出新的会话标识符.
在ASP.NET Session.Abandon()不足以完成此任务. Microsoft在http://support.microsoft.com/kb/899918中声明:“”当您放弃会话时,会话ID Cookie不会从用户的浏览器中删除.因此,一旦会话被放弃,对同一应用程序的任何新请求将使用相同的会话ID,但将具有新的会话状态实例.“” https://connect.microsoft.com/feedback/viewfeedback.aspx?FeedbackID=143361&wa=wsignin1.0&siteid=210#details已经要求修正错误 有一个解决方法来确保新的会话ID“在http://support.microsoft.com/kb/899918生成详细信息涉及到调用Session.Abandon然后清除会话id cookie. 如果ASP.NET不依赖开发人员这样做会更好. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – 如何从Telerik RadGrid获取“KeyValue”?
- asp.net – 如何在WebForms中的form.onSubmit期间调用HTML5
- asp.net – 在telerik网格的列中使用控件
- Asp.net mvc 知多少(八)
- ASP.NET剃刀参考文档
- asp.net-mvc – 无论如何让mvc框架验证我的action参数,就像
- asp.net-mvc-3 – 即使关闭了自动完成功能,Firefox也会缓存
- asp.net-mvc-4 – GoogleOauth2问题获取Internal Server 50
- 如何使用Team Build部署ASP.NET Web应用程序?
- ASP.NET Web Api:如何使用URL参数传递访问令牌(oAuth 2.0)