在Asp.NET中黑客会话变量

ASP.NET中的会话可以以多种方式存储(InProc / SQL Server / State Server)等…另外需要注意的是如何维护客户端会话(查询字符串值,cookie等…)

正如这个答案中的海报所示

Can we hack a site that just stores the username as a session variable?

在对Session进行身份验证并将其名称存储在Session中时,您可以做的一件事就是存储一些有关它们的其他信息.例如他们的UserAgentString,他们的IP地址以及如果不同的IP或UserAgentString尝试与会话交互,您可以使其无效.