代码之家  ›  专栏  ›  技术社区  ›  Rathma

解决asp.net webforms中的cookie重放攻击

forms-authentication webforms security asp.net c#
  •  1
  • Rathma  · 技术社区  · 6 年前

    下列的 this 回答StackOverflow,Microsoft建议执行以下操作:

    1. 把饼干弄干净。
    2. 将Response.Status属性设置为401。
    3. 调用将隐式重定向的response.end方法 转到登录页。

    我在我的 global.asax 文件,(我已向用户表中添加了一个名为 isLogin 我在登录和注销页面中将其设置为true和false…) 

    void Application_PostAuthenticateRequest(object sender, EventArgs e)
        {
            IPrincipal p = HttpContext.Current.User;

            if (p.Identity.IsAuthenticated)
            {
                var userName = p.Identity.Name;
                HttpCookie authenticationCookie = Request.Cookies[FormsAuthentication.FormsCookieName];

                if (SecurityUtilities.CheckUserLoggedIn(userName) == false)
                {

                    FormsAuthentication.SignOut();
                    Response.StatusCode = 401;
                    Response.End();
                }              
            }
        }

    我想知道我做的这些都对吗?这个密码怎么办? 

    if (SecurityUtilities.CheckUserLoggedIn(userName) == false)
{  

 FormsAuthentication.SignOut();
    Response.Redirect(FormsAuthentication.LoginUrl);
}
    0 回复  |  直到 6 年前
    推荐文章
    Farid  ·  限制django每个客户的访问
    2 年前
    josegp  ·  在Nmap中-p-tag是什么意思
    2 年前
    Anony Mous  ·  Python内置的哈希方法可靠且安全吗?[已关闭]
    2 年前
    Danny Gersh  ·  让网站成员上传js供其他成员使用有什么危险?
    2 年前
    Anonymous Creator  ·  在javascript中重新使用已通过身份验证的mvc客户端
    6 年前
    sauumum  ·  相互身份验证:ServerHelloDone之后“收到致命警报:握手失败”
    6 年前
    kramer65  ·  如何根据网站用户在S3上添加非公共网站文件?
    6 年前
    derf26  ·  如何阻止React Web包包含包中的脚本。json
    6 年前
    user8663960  ·  最好也是最简单的方法是保护登录表单的安全
    6 年前
    Nyein Chan Wynn  ·  Android:如何在生成指纹保护的密钥后立即使用它进行加密?
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号