而不是使用ASP.NET MVC用戶的系統,如下所示:ASP.NET MVC 4和會話安全漏洞
當他登錄信息(用戶名+密碼),我取從數據庫和一套相應的用戶:
Session["UserId"] = fetchedUser.UserId;
然後,我總是檢查他是否在登錄:
if (Session["UserId"] != null && ...)
的問題是,如果有人複製ASP.NET_SessionId的從價值登錄用戶(例如:用戶去衛生間和坐在他旁邊的同事用鉻檢查員檢查他的餅乾),然後他將能夠在他的電腦中創建一個cookie並作爲該用戶。
我的問題是:如果會話ID保存在cookie中
- 爲什麼會議比餅乾更安全嗎?
- 我可以讓這更安全(並繼續使用會話)嗎?
- 內部ASP.NET用戶認證系統如何做到這一點?
除非你在學習,否則安全不是你想要做的事情。你確定你不應該使用內置的安全性? –