【发布时间】:2012-12-21 04:29:15
【问题描述】:
在安全漏洞测试期间,我们的客户端在用户成功登录系统后请求应用程序更改会话 ID,特别是 ASP.NET_SessionID cookie 值。这可能会解决 session fixation 如何在 Session Id 更改时引发 session_end 事件并导致重新启动会话(系统),该会话将再次重定向到登录页面。有什么方法可以更改会话 ID 而不会导致这一切?
请提出任何解决方法。
【问题讨论】:
-
为什么不将会话导出到 OutProc 存储,如分布式缓存提供程序或 StateServer 或 SQL Server,更改 Id 并在之后恢复会话并将会话与新 ID 关联。这样 ID 将被更改,用户将保持登录状态。
-
@KevinRyan:这就是我首先在本地机器(inProc 存储)上尝试做的事情。但是,更改会话 ID 会导致引发 session_end 事件。
标签: asp.net vb.net security session-cookies