我正在使用ASP.Net MVC3和IIS 7.0。在我的網站上,我通過https實現了表單身份驗證(requireSSL =「true」)。我爲.ASPXAUTH cookie設置了一些到期日期(例如5天)。所有作品都很好,但是在成功從一個瀏覽器登錄後,我可以將Cookie(.ASPXAUTH)複製到另一臺瀏覽器或另一臺計算機上,並且無需登錄名和密碼即可進入我的網站。ASP.NET MVC 3表單身份驗證安全風險
我該怎麼做,以便我只能從瀏覽器或我輸入登錄密碼的計算機訪問站點,並且無法從其他瀏覽器訪問,我在其上覆制了.ASPXAUTH cookie?
由於提前,Olexiy
這是怎麼回事任何超過到電腦的人越來越訪問該用戶已經登錄和安全風險,通過其Web瀏覽器訪問您的網站。如果他們有權訪問cookie,那麼他們也可以訪問Web瀏覽器並進入。在我看來,風險並不在於複製cookie。風險是你已經在cookie上設置了這麼長的期限。 –
謝謝凱文。但是,例如,Google已經爲Gmail實施了這個功能。你知道他們是怎麼做到的嗎? –
Google爲其所有應用程序和第三方應用程序使用OAuth和OpenID。您可以保持登錄Google帳戶,但我沒有驗證您無法複製Cookie。如果您無法從Google帳戶複製Cookie,那麼他們可能使用了@Zoltan暗示的技術。但是,正如我和季米特洛夫所說的那樣,複製cookie沒有風險。 –