asp.net – 如何在服务器端杀死.ASPXAUTH cookie?
发布时间:2020-12-16 06:34:16 所属栏目:asp.Net 来源:网络整理
导读:我不是开发人员,而是渗透测试人员.在基于.NET框架的网站上进行测试时,我报告了“不正确的会话管理”问题.用户使用.ASPXAUTH cookie进行了身份验证.当用户注销时,会在客户端浏览器中将.ASPXAUTH cookie值设置为空白.但是如果您使用相同的.ASPXAUTH,请手动将其
|
我不是开发人员,而是渗透测试人员.在基于.NET框架的网站上进行测试时,我报告了“不正确的会话管理”问题.用户使用.ASPXAUTH cookie进行了身份验证.当用户注销时,会在客户端浏览器中将.ASPXAUTH cookie值设置为空白.但是如果您使用相同的.ASPXAUTH,请手动将其放入浏览器并刷新页面用户直接进行身份验证.
我建议开发人员,一旦用户注销,.ASPXAUTH cookie就会在服务器端被销毁.但他们建议cookie和会话相关的东西完全由框架管理,并且它无法在服务器端被杀死. 那么有没有办法在服务器端杀死.ASPXAUTH? 先感谢您 解决方法
不,没有办法做到这一点,因为ASP.NET FormsAuthentication与服务器上的任何状态都无关.这是它的弱点之一.您可以做的是将此cookie与将保留在服务器上的会话状态相关联.这种方式为了进行身份验证,使用有效的表单身份验证cookie是不够的,但除此之外,它应该与服务器上的某些状态相关,这些状态可能会在您想要的任何时候失效(例如,在注销时).在这种情况下,在用户退出网站后,他将无法再使用.ASPXAUTH cookie,假设他在验证时已经捕获了它的值. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net – 具有复合键的Odata v3 Web Api导航
- asp.net – 你如何确定哪个验证器失败?
- asp.net-mvc – Parallel Blob上传间歇性抛出404 Bad Reque
- ASP.NET Core 1.0 WebSocket安装?
- asp.net-mvc-3 – 分页/排序不适用于部分视图中使用的网格
- asp.net-mvc-3 – 从Minifying中跳过单个文件?
- asp.net-mvc – jqGrid中的日期选择器,简单的例子?
- ASP.NET(C#)Web服务中的异常处理
- 懒惰加载asp.net Ajax Control Toolkit手风琴
- asp.net-web-api – 使用控制器上的Xml注释的ASP.NET Web A
推荐文章
站长推荐
热点阅读