asp.net – 加密cookie中的会话ID(或其他身份验证值)是否有用?
发布时间:2020-12-15 22:36:02 所属栏目:asp.Net 来源:网络整理
导读:在Web开发中,当启用会话状态时,会话ID存储在cookie中(在cookieless模式下,将使用查询字符串).在asp.net中,会话ID自动加密.互联网上有很多关于你应该如何加密你的cookie的话题,包括会话ID.我可以理解为什么要加密私人信息(如DOB),但任何私人信息都不应该存储
在Web开发中,当启用会话状态时,会话ID存储在cookie中(在cookieless模式下,将使用查询字符串).在asp.net中,会话ID自动加密.互联网上有很多关于你应该如何加密你的cookie的话题,包括会话ID.我可以理解为什么要加密私人信息(如DOB),但任何私人信息都不应该存储在cookie中.因此,对于其他cookie值,例如会话ID,目的加密是什么?它会增加安全性吗?无论你如何保护它,它都会被送回服务器进行解密.
更具体, 出于认证目的, >关闭会话,我不想再处理会话超时了 VS Asp.net表单身份验证机制(我认为它依赖于会话或会话ID) 后者提供更好的安全性吗? 解决方法
对Session Hijacking等会话的攻击旨在获得有效的会话ID.如果您现在要加密会话ID,攻击者只会瞄准加密的会话ID,您就没有任何优势.因此加密会话ID是没用的.请记住,会话ID只是用于标识会话的随机值.攻击者不需要知道该随机值是否具有某些特定含义;他们只需要知道随机值.
如果要保护会话安全,请使用HTTPS通过SSL加密整个HTTP通信,并仅使用标志设置cookie >安全只允许通过HTTPS发送cookie (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net-mvc-3 – 从ASP的Ajax.ActionLink获取JSonResult
- asp.net-mvc – ASP.NET MVC WebSite中的ERR_EMPTY_RESPONS
- asp.net – 如何使用master从asp:content页面访问母版页上
- Visual Studio 2017 ASP.NET Core开发
- asp.net-mvc-3 – MVC3 Html.ActionLink Post
- asp.net-mvc – Validator.TryValidateObject不验证RangeAt
- 如何使用ASP.NET Repeater删除尾随逗号?
- asp.net-mvc-2 – 读取HTTP请求自定义标头
- asp.net-mvc-3 – 从JsonResult MVC3 / Razor中动态显示表/
- ASP.net MVC ValidationSummary总是被渲染
推荐文章
站长推荐
- c# – 因为算法不同,客户端和服务器无法通信
- 这是一个错误吗?或者它是ASP.NET 4(或MVC 2)中的
- 如何从asp中检索多个选定的值:checkbox .net c#
- asp.net-mvc – 我如何编写一个ActionFilter来确
- CommandArgument(与ASP.NET Repeater一起使用)是
- asp.net-mvc – 为什么MvcApplication.RegisterR
- ASP.NET MVC – 单元测试覆盖初始化方法
- asp.net – Visual Studio源代码控制/版本控制,V
- asp.net – asp mvc http以对象作为参数获取动作
- asp.net – 什么条件导致Web浏览器显示“Page Ex
热点阅读