有一个asp.net网站,其中的认证如下。该网站的链接将从门户访问。使用 cleartrust,将设置服务器变量。这样的服务器变量之一是“UserID”。
在主页中,使用以下逻辑。它检索服务器变量“UserID”。如果它返回非空值,则认为它已通过身份验证。
我需要证明上述方法是不够的。这意味着,当其他人通过设置服务器变量向网站 url 发出请求时,他们可以看到数据。我想创建另一个网站,通过设置服务器变量来调用当前网站。有可能这样做吗?
protected void Page_Load(object sender, EventArgs e)
{
string user = getCtHeader(this.Request, "UserID").Trim();
}
public static string getCtHeader(HttpRequest request, string key)
{
string value = request.ServerVariables[key];
return value;
}
}