【发布时间】:2011-11-07 15:30:10
【问题描述】:
可能我的问题很愚蠢,但它让我发疯,你看我有这个应用程序,即使我使用了 Session.Abandon()、Session.Clear() 和 Session.Removeall,它的会话在注销后也不会过期()。我一直在互联网上搜索,但到目前为止没有运气,我真的希望我能得到一些帮助。假设我有用户 X,如果我执行以下操作,任何人都可以使用 X 的帐户登录:
1- 使用 X 的用户名和密码登录。 2-获取会话“.ASPXFORMSAUTH”信息。 3- 从 X 的帐户注销 4-例如使用火狐“添加cookie功能”添加会话“.ASPXFORMSAUTH”及其值。 5-输入网址并点击进入 页面刚刚打开,真的让我抓狂!!
提前致谢
【问题讨论】:
-
您使用的是什么类型的会话?进程内?数据库服务器?还有什么?
-
“注销”前后的 SESSIONID 是否保持不变?
-
页面是否以 same SessionId 显示?我希望一个新的会话会默默地开始。
-
我相信 SESSIONID 保持不变,因为如果我使用 fire fox add cookie session 添加带有其值的 cookie,它只会让我登录...
-
它显示了与我登录时相同的用户名...
标签: c# asp.net session asp.net-membership