0
我的計算機上有多個ASP MVC項目,並且每個人都使用身份框架以及具有[Authorize]屬性的各種控制器。本地主機開發和部署的MVC身份Cookie安全最佳實踐
我發現如果我用一個項目登錄,然後在localhost上調試另一個項目,我可以繞過其他項目的安全性。
我知道這是因爲localhost只有一個cookie,但是,是否有任何簡單的方法可以解決這個問題以進行調試?在部署到公共互聯網時是否存在安全隱患?
A
回答
1
由於@TiesonT表示您需要重命名每個應用程序的身份驗證Cookie。你可以做到這一點在Startup.Auth.cs:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
// other properties
CookieName = "MyCookieName",
});
或者你可以設置你的開發計算機上的應用程序在IIS和給他們通過hosts文件,每個自己的域名。即MyApplication.dev,MyOtherApplication.dev
相關問題
- 1. ASP.NET安全身份驗證和授權的最佳實踐
- 2. Laravel身份驗證安全性的最佳實踐是什麼?
- 3. Django和VIRTUALENV開發/部署的最佳實踐
- 4. 開發和部署ASP.NET應用程序的最佳實踐?
- 5. C#身份驗證安全性最佳實踐
- 6. Salesforce部署最佳實踐?
- 7. 最佳實踐安全地從URL
- 8. JSON安全最佳實踐?
- 9. Capistrano安全最佳實踐
- 10. ASP.NET安全最佳實踐
- 11. 最佳實踐Apps安全
- 12. CKEditor安全最佳實踐
- 13. Spring MVC開發流程 - 最佳實踐
- 14. 最佳實踐來部署和gitignore
- 15. 多機器和版本控制開發的最佳實踐
- 16. ASP.NET MVC本地化最佳實踐?
- 17. php身份驗證最佳實踐...?
- 18. 用戶身份驗證最佳實踐
- 19. Web API身份驗證最佳實踐
- 20. JMS開發最佳實踐
- 21. Django開發最佳實踐
- 22. Android開發最佳實踐
- 23. 什麼是Sharepoint(MOSS 2007)開發/部署最佳實踐
- 24. JSP和MVC最佳實踐
- 25. SharePoint 2007的WSP部署最佳實踐
- 26. 部署網站的最佳實踐
- 27. 部署Windows服務的最佳實踐
- 28. 自動部署的最佳實踐
- 29. Web部署的最佳實踐
- 30. 本地化最佳實踐
配置身份驗證時,確保每個項目指定不同的CookieName值。 –
@ TiesonT.-我的cookies沒有問題,我的默認身份驗證cookie有問題,我無法重命名。此外,正如我所說,如果我可以登錄到不同的應用程序與該項目中不存在的用戶,我很想知道部署到互聯網的最佳做法... – Wil
爲什麼你不能改變身份驗證cookie的名稱?這始終是FormsAuthentication的一部分,OWIN也不例外。如果您所做的只是應用AuthorizeAttribute(不包含角色或聲明),它只會檢查auth cookie是否存在,而不是它源自當前應用程序 –