共享会话(Asp-的> asp.net)安全
问题描述:
我需要为了从asp
页面传递数据aspx
共享会话。该解决方案我发现:共享会话(Asp-的> asp.net)安全
•通过数据通过隐藏表单(link)
•通过数据通过数据库(link)
我已经试过法的形式和它工作得很好(一些修改后)。现在我正在尝试使用数据库的方法。第一种方法比较简单,所以我想知道第二种方法比第一种方法更安全吗?
这些方法存在哪些潜在的问题?
答
第一个解决方案肯定是不太安全的,因为你发送会话数据到客户端,然后接收回来。这意味着客户端的某些人可能会修改他们发回到您网页的数据。这消除了关于会话的最好的事情之一,只有程序员控制它们中的内容。在某种程度上,第一种方法类似于使用cookie。至于第二种方法,可能会更困难,但我肯定会推荐它。
答
如果会话加密,我想你会罚款。 ASP.NET可以将会话存储在数据库和URL查询字符串中,以避开未启用Cookie的用户。你的解决方案听起来很像。
答
微软列出的方法使用SQL Server来存储这里的会话ASP经典与ASP.NET之间共享对话状态:http://msdn.microsoft.com/en-us/library/aa479313.aspx
*这意味着,它可能是有人在客户端进行修改他们发布的数据回到你的页面* - 除非你使用[安全cookies](http://www.cse.msu.edu/~alexliu/publications/Cookie/cookie.pdf)。 – Zed 2011-03-16 18:18:05
@Zed:我不是在说那里的饼干。我正在谈论发布的表单数据。感谢张贴,虽然,我会给它一个阅读。 :) – 2011-03-16 20:01:11
该论文有点以cookie为中心,但这些想法适用于每个客户端会话数据,您要防止脾气。 – Zed 2011-03-16 21:29:16