我想知道如何防止ASP.NET中的会话固定攻击(参见http://en.wikipedia.org/wiki/Session_fixation)
我的方法通常是在有人登录时生成并发出新的会话ID.但是这种控制级别是否可以在ASP.NET中使用?
我有一个使用表单身份验证和成员资格的网站.用户必须启用cookie才能使用该站点.我被要求更改代码,以便在用户登录时更改会话ID.显然,这将防止会话修复攻击(http://en.wikipedia.org/wiki/Session_fixation).有没有人知道如何在不丢失整个会话的情况下更改会话ID?PHP有一个特定的方法来做到这一点,但我找不到.NET等价物.
目前我们正面临一个关于会话固定的问题。我们确实有一个安全的站点,即 Https,并且没有对其进行身份验证。这意味着它可以匿名访问。因此,我们正面临来自黑客的会话固定问题。有人可以帮助和指导吗????