如果攻击者将设置在 SetAuthCookie 调用中的身份验证 cookie 从受害者 PC 复制到他们的 PC,是否会认为攻击者已通过 Web 应用程序的身份验证?
public static void SetAuthCookie(
string userName,
bool createPersistentCookie
)
使用标准表单身份验证 FormsAuthentication.SetAuthCookie 和参数 createPersistentCookie = false
假设这用于 Web 配置设置
<authentication mode="Forms">
<forms name="MyWebApp" path="/" loginUrl="~/Default.aspx"
timeout="30" defaultUrl="~/Default.aspx" protection="All"
requireSSL="true" />
</authentication>