我正在查看此网站上可用于 session 固定的不同解决方案 网站http://hungred.com/useful-information/solutions-session-attacks/ .
解决方案之一是“利用 SSL/TLS session 标识符”。我对此几乎没有疑问。
这到底是什么意思?
我们如何在 asp.net 中实现这个解决方案?
是否需要编码来实现它,或者它会通过一些配置来完成?
关于这个解决方案,它还写道“许多网络开发语言没有为这个解决方案提供强大的内置功能”。
所以我的另一个问题是,这个功能是 ASP.NET 的内置功能吗?
最佳答案
基本上,如果您使用 SSL 卸载,设备(例如 F5 BIG IP)可以根据客户端证书添加 session cookie。
在纯 .net 中,当直接连接到您的代码时,这是不可能的;但是,您可以使用客户端证书本身作为标识符,这样就不需要 cookie。
窃取证书通常比窃取 cookie 更难,因为私钥受操作系统保护。
关于c# - asp.net中如何实现 "Utilize SSL/TLS Session identifier" session 固定的解决方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34132964/