据我了解,由 FormsAuthentication 创建的 AuthCookie 负责加密(对吗?)并创建 Auth 令牌。创建后,令牌/authCookie 将在每个客户端 <-> 服务器公报上传递
据我了解,为了防止令牌被劫持,我们需要将站点置于 SSL (HTTPS) 下
问题 #1:AJAX 调用会损害我们网站的安全性吗?他们甚至可以在 HTTPS 下工作吗?
问题 #2:我们使用 IIS7.5,我们的一些页面不需要安全登录;但鉴于 AuthCookie,我想最好将所有内容都放在 HTTPS 下。这种方法会有明显的性能缺陷吗?其他一些缺点是什么?
干杯
你的理解是正确的。ASP.NET 管理您的 FormsAuthentication 令牌的加密,这是您的身份验证 cookie 的值,这可以防止篡改,但如果通过 HTTP 通过网络发送,则很容易受到第三方盗窃导致会话劫持。
对于您的具体问题:
不,AJAX 调用不应损害您网站的安全性,特别是因为它们确实应该通过 HTTPS 工作。
是的。当您有一个需要身份验证的网站时,您应该在 HTTPS 下运行所有内容。对于相对现代的计算机,在 HTTPS 下运行对性能的影响应该很小。当然,根据您的具体情况进行测试总是很有价值的,但通常,影响是个位数百分比或更少,并且通常不会被认为是明显的。