1

如果我使用

<authentication mode="Forms">

  <forms

  cookieless="UseUri"

  slidingExpiration="true"

  timeout="60"

  />

</authentication>

进行此更改后。以匿名用户身份访问时,URL 看起来与以前完全相同。例如,当访问 Default.aspx 页面时,我的浏览器地址栏显示以下 URL:

http://localhost:2448/default.aspx

但是,登录后,表单身份验证票证会嵌入到 URL 中。比如访问登录页面,以Sam登录后,返回到Default.aspx页面,但是这次的URL是:

http://localhost:2448/(F(jaIOIDTJxIr12xYS-VVgkqKCVAuIoW30Bu0diWi6flQC-FyMaLXJfow_Vd9GZkB2Cv-rfezq0gKadKX0YPZCkA2))/default.aspx

注意:无 cookie 身份验证票更容易受到重放攻击,因为身份验证票直接嵌入在 URL 中。想象一个用户访问网站,登录,然后将 URL 粘贴到电子邮件中给同事。如果同事在到期前点击该链接,他们将作为发送电子邮件的用户登录!

如果我使用无 cookie 身份验证,这是一个可能的缺点,我有兴趣了解这种方法的其他可能缺点。

谢谢

4

1 回答 1

4

缺点:

  1. 可以存储在 URL 中的数据量有限(尤其是在移动和 Windows 2003 平台中)
  2. Cookie 重放攻击(您已经提到过) - 可以使用 ssl 避免,并使用超时进行限制。
  3. 您的网址看起来很长而且不“整洁”。
于 2012-04-11T11:43:35.233 回答