我的理解是ASP生成一个cookie来验证 session 。但是,如果该 cookie 通过非 https channel 来回发送,我不能简单地通过欺骗 cookie 来欺骗它吗? cookie 可以锁定到特定的 IP 或其他机器指纹吗?
最佳答案
ASP.NET 中的 session 未经过身份验证 - 身份验证是完全独立的。通过获取 session cookie 并重新创建它,是的,您可以劫持 session ,如果您解除身份验证 cookie,那么您可以作为用户进行身份验证(这就是默认情况下身份验证 cookie 过期的原因) - 请参阅 http://msdn.microsoft.com/en-us/library/ms178581.aspx
安全说明非常清楚;
SessionID values are sent in clear text, whether as a cookie or as part of the URL. A malicious user could get access to the session of another user by obtaining the SessionID value and including it in requests to the server. If you are storing sensitive information in session state, it is recommended that you use SSL to encrypt any communication between the browser and server that includes the SessionID value.
关于asp.net - ASP.net 安全 cookie 的安全性如何,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14695503/