我希望在我的 ASP.NET 应用程序中防止 session 劫持并遇到这个 great post通过杰夫普罗西斯。但是,它是从 2004 年开始的,我想知道是否有任何更新可以执行相同的操作或导致任何并发症?另外,有没有人在生产服务器上使用过它,如果是这样,是否有任何问题由此引起?唯一可能影响我的应用程序的问题是某人的 IP 网络是否在短时间内发生变化,但我无法想象这很有可能。
谢谢
最佳答案
这是一种有趣的 session 强化方法,但它不会阻止 session 劫持。这个系统和HTTPOnly Cookies有同样的问题也就是说,攻击者可以使用 xss 从受害者的浏览器创建请求,并且攻击者不需要知道 session ID 的值。
此引文摘自您链接到的文章:
SecureSessionModule raises the bar for hackers who hijack sessions using stolen session IDs
这提高了标准,但您仍然需要修补 XSS 和 CSRF 漏洞。
关于asp.net - Jeff Prosise 的 session 劫持博客 - 有任何更新吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2390256/