Mar*_*tyn 7 asp.net security session session-hijacking
我想知道当前版本的ASP.NET中内置了什么会话ID劫持保护.
我最近看到这篇内容非常丰富的文章,解释了如何通过实现将IP地址和用户代理标头编码到会话ID中的附加层来增强会话安全性.然后在每个后续请求中验证这些详细信息.
看来这篇文章是为ASP.NET 1.1编写的,所以我想知道现在是否在ASP.NET中构建了类似的东西.实现这样的附加层仍然有什么好处吗?
谢谢.
从会话概述文档中查看此代码段:
System.Web.SessionState.HttpSessionState.SessionID值以明文形式发送,无论是作为cookie还是作为URL的一部分.恶意用户可以通过获取SessionID值并将其包含在对服务器的请求中来访问另一个用户的会话.如果要以会话状态存储敏感信息,建议您使用SSL加密浏览器和包含SessionID值的服务器之间的任何通信.
http://msdn.microsoft.com/en-us/library/ms178581.aspx
在我看来,这意味着会话中没有任何安全性,因此您可能不应该使用Session作为安全措施.相反,我建议依赖ASP.NET安全性(身份验证,授权).
以下是来自ASP.NET的一般安全建议的Patterns&Practices组的一篇文章.
http://msdn.microsoft.com/en-us/library/ff649100.aspx