ASP.net安全cookie的安全性如何

发布时间：2020-12-16 06:26:11 所属栏目：asp.Net 来源：网络整理

导读：我的理解是ASP生成一个cookie来验证会话.但是,如果该cookie是通过非https频道来回发送的,我不能仅仅通过欺骗cookie来欺骗它吗？ cookie可以锁定到特定的IP或其他机器指纹吗？解决方法 ASP.NET中的会话未经过身份验证 – 身份验证完全独立.通过获取会话cooki

我的理解是ASP生成一个cookie来验证会话.但是,如果该cookie是通过非https频道来回发送的,我不能仅仅通过欺骗cookie来欺骗它吗？ cookie可以锁定到特定的IP或其他机器指纹吗？

解决方法

ASP.NET中的会话未经过身份验证 – 身份验证完全独立.通过获取会话cookie并重新创建它是的,您可以劫持会话,如果您取消身份验证cookie,那么您可以作为用户进行身份验证(这就是默认情况下身份验证cookie过期的原因) – 请参阅 http://msdn.microsoft.com/en-us/library/ms178581.aspx

安全说明很清楚;

SessionID values are sent in clear text,whether as a cookie or as part of the URL. A malicious user could get access to the session of another user by obtaining the SessionID value and including it in requests to the server. If you are storing sensitive information in session state,it is recommended that you use SSL to encrypt any communication between the browser and server that includes the SessionID value.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!