ASP.NET中的会话修复

前端之家收集整理的这篇文章主要介绍了ASP.NET中的会话修复前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我想知道如何防止ASP.NET中的会话固定攻击(见 http://en.wikipedia.org/wiki/Session_fixation)

我的方法是通常会在有人登录生成和发出一个新的会话ID.但ASP.NET的这个级别的控制是否可行?

解决方法

一直在做更多的挖掘.在任何Web应用程序中防止会话固定攻击的最佳方法是在用户登录时发出新的会话标识符.

在ASP.NET Session.Abandon()不足以完成此任务. Microsoft在http://support.microsoft.com/kb/899918中声明:“”当您放弃会话时,会话ID Cookie不会从用户的浏览器中删除.因此,一旦会话被放弃,对同一应用程序的任何新请求将使用相同的会话ID,但将具有新的会话状态实例.“”

https://connect.microsoft.com/feedback/viewfeedback.aspx?FeedbackID=143361&wa=wsignin1.0&siteid=210#details已经要求修正错误

有一个解决方法来确保新的会话ID“在http://support.microsoft.com/kb/899918生成详细信息涉及到调用Session.Abandon然后清除会话id cookie.

如果ASP.NET不依赖开发人员这样做会更好.

猜你在找的asp.Net相关文章