0

您好,我是 sharepoint 开发的新手。我正在开发一个我们使用 FBA 的应用程序。出于注销目的,我们使用自定义注销页面,在该页面上我们正在清除所有会话、cookie。现在,当用户登录时,可以使用此工具http://portswigger.net/burp/复制和保存登录用户的 cookie 和整个会话数据。现在注销后,这可以很容易地用于再次登录用户。没有什么对我有用,虽然我在注销时已经过期了 auth cookies。任何建议如何使用户无法使用通过 burp 工具保存的 cookie 登录..

4

1 回答 1

0

您可以发出一个加密的 cookie 来存储会话 ID。向站点的标头添加一个控件,将加密标头与当前标头进行比较。如果它们不匹配,请立即发送 FedAuth cookie 以使其过期。

于 2013-01-16T15:02:30.630 回答