ユーザーがログインすると、暗号化されたクエリ文字列が作成され、セッションが失敗した場合にユーザーを認証するためにページに渡される Web サイトを作成しました。しかし、問題は、URLを別のコンピューターに貼り付けると、暗号化されたクエリ文字列からセッションが再作成され、ユーザーがWebサイトに沿って移動できることです。
アプリで広く使用されているため、クエリ文字列を削除したくないだけです...これをより安全にし、URLをPCに依存させる方法を提案できますか
質問する
34 次
1 に答える
0
あなたの場合、2つの可能性があります:
セッションのブラウザー部分に関するすべての利用可能な情報を使用し、毎回検証するようにします (remote-ip などを含む)。これは決して安全ではないことに注意してください。ただし、おそらく気にしないか、または
HTTPS を使用して、SessionID を HTTPS のみの Cookie に書き込みます。
msdn http://msdn.microsoft.com/en-us/library/ms178201.aspxのトピックの詳細を読む
于 2013-02-18T05:29:23.627 に答える