フォーム認証を使用してユーザーを認証するasp.net mvcでWebアプリケーションを作成しています。HTTP プロキシ ツール「burp」を使用して、認証済みユーザーの認証済み Cookie を取得しています。その後、アプリケーションからログアウトします。現在、キャプチャされた認証済み Cookie を使用してサーバーにリクエストを送信していますが、サーバーはそのリクエストを認証済みリクエストとして処理しています (ブラウザからそのユーザーをログアウトした場合でも)。ログアウトコードのどこが間違っているのか教えてもらえますか?
以下は、アプリケーションのログアウトコードです
public virtual ActionResult LogOff()
{
FormsAuthentication.SignOut();
Session.Abandon();
// clear authentication cookie
HttpCookie cookie1 = new HttpCookie(FormsAuthentication.FormsCookieName, "");
cookie1.Expires = DateTime.Now.AddYears(-1);
Response.Cookies.Add(cookie1);
// clear session cookie
HttpCookie cookie2 = new HttpCookie("ASP.NET_SessionId", "");
cookie2.Expires = DateTime.Now.AddYears(-1);
Response.Cookies.Add(cookie2);
HttpCookie cookie3 = new HttpCookie("__RequestVerificationToken", "");
cookie3.Expires = DateTime.Now.AddYears(-1);
Response.Cookies.Add(cookie3);
HttpCookie cookie4 = new HttpCookie(".ASPXAUTH", "");
cookie4.Expires = DateTime.Now.AddYears(-1);
Response.Cookies.Add(cookie4);
return RedirectToAction(MVC.Account.Login());
}
以下は、成功応答を返す認証済みリクエストを送信するげっぷツールのスクリーン ショットです。
