我创建了一个网站,一旦用户登录,就会生成一个加密的查询字符串,并在会话失败时沿页面传递以对用户进行身份验证。但是现在的问题是,如果我将 url 粘贴到另一台计算机上,它只会从加密的查询字符串重新创建会话,并且用户可以在网站上移动。
我只是不想删除查询字符串,因为它在应用程序中广泛使用...你能建议我如何使它更安全并使 urls pc 依赖
问问题
34 次
1 回答
0
你的情况有两种可能:
您确保使用有关会话的浏览器部分的所有可用信息并每次都对其进行验证(包括 remote-ip 和类似的)。请注意,这不会以任何方式使其安全,但也许您不在乎或
像其他人一样使用 HTTPS 并将 SessionID 写入仅 HTTPS 的 cookie。
在 msdn http://msdn.microsoft.com/en-us/library/ms178201.aspx中阅读有关该主题的更多信息
于 2013-02-18T05:29:23.627 回答