【发布时间】:2014-07-09 02:08:37
【问题描述】:
我想采取措施防止/减轻会话劫持。因此,我想知道来自内置 ASP.NET 或自定义组件的选项。
请注意,会话劫持指的是Forms Auth session 和Session State。
我的 ASP.NET 一直在为所有页面使用 HTTPS。但是,一旦第三方以某种方式获得会话 cookie id,会话可能会受到损害,例如来自用户的硬盘驱动器、跨站点脚本攻击和中间人攻击
我特别担心会话 id 劫持,因为我的项目一直使用 https
以下是我查看过的链接,这些链接是几年前写的:
Foiling Session Hijacking Attempts Jeff Prosise 其缺点请参阅注意事项部分。
我在网上找不到太多相关信息,或者与 Jeff 的不同。
【问题讨论】:
标签: asp.net security webforms form-authentication session-hijacking