个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
25
4
我正尝试在相当大的 ASP.NET Web 应用程序 (C#) 上解决一些安全问题。为了防止 session 固定攻击,我想在每次用户验证自己时生成一个新的 session ID。但是我只想生成一个新的 session ID 而不会丢失 session 的其余部分。在对这个主题做了一些研究之后,我发现了几个可行的解决方案:
解决方案 1:Generating new SessionId in ASP.NET
这建议通过将 session cookie 设置为空字符串来手动清除 session cookie。然而,这需要刷新页面或使用 AJAX 来确保 cookie 确实被删除,这在我的特定情况下并不是一个真正可行的选择。
解决方案 2:Generating a new ASP.NET session in the current HTTPContext
我已经实现了这种方法并且它按预期工作。然而,正如最初的海报所说,这并不是您所谓的优雅解决方案。此外,这篇文章已有几年历史了,我希望现在可能有更好的解决方案。
我想知道的是,是否有我在研究中遗漏的任何替代方法,或者是否可以在不操纵 session 管理内部结构的情况下实现类似解决方案 2 的方法。
最佳答案
由于 session 管理在 ASP.NET 中的设计工作方式,实现您想要的并不容易,解决方案编号 2。考虑到 ASP.NET session 状态实现细节在某些方面发生变化,解决方案 (2) 似乎有点冒险点。
我推荐解决方案 1 的一个变体,当用户进行身份验证时,您将 session 中的相关数据存储到 db/cache,为用户获取一个新 session ,然后用您需要的数据填充它。由于数据正在从“未经身份验证”的 session 移动到“经过身份验证”的 session ,因此您还应该注意验证该数据。
手动清除 session cookie 可能是一个滑坡,关于 Ramping up ASP.NET session security .您会在 NWebsec.SessionSecurity 中找到更强大的解决方案的经过身份验证的 session 标识符(免责声明:我是该项目的开发人员)。
关于c# - 在登录时生成新的 SessionID (ASP.NET),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17548606/
25
4
0
是否可以仅在点击 anchor 时为其分配 url? Token Link 当点击 anchor 时,它将转到 http://example.com/token=xxxxx/ 我只想在单击时生成 to
我不能 100% 确定我的错误。当我尝试生成 PDF 时,我得到了此编码输出: %PDF-1.4 %���� 3 0 obj <> /Contents 4 0 R>> endobj 4 0 obj <
下面的代码有几个函数,这些函数允许诸如将数据写入文档、读取文档以及将数据放入数组中以用于稍后的 JTable 等操作。 package tabletest.populatetable; import
我检查了我的网站 (WordPress) 应用程序的页面源并发现了以下内容 <iframe src="https://www.google.com/recaptcha
我有一个最终会生成 OutOfMemory 的程序。程序代码为: public class VeryLargeObject implements Serializable { public s
所以我正在构建一个博客引擎,它具有/articles/then-the-article-permalink 作为 URL 结构。我需要有 prev 和 next 链接,它们将通过 pub_date 跳
我有这个列表: string[] countries = { "USA", "CANADA" }; 当我运行这个查询时: query = (from user
我有一个将 InputStream 作为 InputStreamResource 返回的方法,当我让 swagger 生成文档时,它说返回类型是 InputStreamResource。如何更改此设置
令人惊讶的是,我找不到关于这个主题的任何内容。当在 EditText 中检测到“@”时,动态生成 ListView 的方法是什么。这是一个例子: 这是我目前所拥有的: textfield.setOn
我发现 Menhir 提供了 --dump 和 --explain 选项,它对调试有很大帮助。但是如何在 ocamlbuild 下启用这些选项,以便 Menhir 在编译时始终生成转储文件? 我尝试编
您好,我正在寻找使用 ajax 提交表单时在 codeigniter 中重新生成 csrf token 的过程。我希望在不刷新页面的情况下重新生成 token 。有没有办法做到这一点。 最佳答案 根据
int main(void) { float a; scanf("%f", &a); double c = sqrt(a); printf("%f", c);
我有看起来像这样的 Hibernate 实体(省略了 getter 和 setter): @Entity public class EntityA { @ManyToOne(fetch = F
我正在使用 git 来跟踪 wireshark project .我想提交一个补丁,但是所需的格式是以下输出(参见 http://www.wireshark.org/develop.html ): s
Spring 最近发布的关于在 Spring Boot 项目中使用静态 Web 内容的博文 (https://spring.io/blog/2013/12/19/serving-static-web-
我正在尝试设置我的测试环境,其中包括 React 测试库、Redux 工具包、RTK 查询和 TypeScript,但我遇到了一个我无法解决的问题。 我想不通的主要问题是如何生成 AppDispatc
我正在尝试将使用 Microsoft Access 数据库的网站移植到 MySQL。首先,我尝试打开 SQL 数据库: (旧)访问代码是: Set cn = Server.CreateObject (
我正在运行一个基本上从 Twitter 中提取推文的 Flask 应用程序。虽然使用嵌入式 Flask 服务器运行应用程序没有问题,但在 gUnicorn 中运行时我收到重复的推文,主要是因为我有 2
我正在学习 Python-这给了我一个 IO 错误- f = open('money.txt') while True: currentmoney = float(f.readline())
我想生成 N 个随机点,其乘积为某个值 1。 我在 MATALB 中是这样做的: N_=10; x1_=rand(1, N_); p_=prod(x1_); x_=x1_; x_(end)=x1_(e
我是一名优秀的程序员,十分优秀!