0

我有一个结合了 asp/asp.net 的应用程序,并且双方都依赖于相同的 cookie(它们在同一个域中)。出于安全考虑,我不想再访问客户端的 cookie 中有一些值。我希望完成的是取出这些值,使它们不再发送到客户端,然后在每个服务器请求中,以某种方式将这些值“注入”回 cookie,以便应用程序仍能正常运行。

这甚至可能吗?我认为这可能是通过 ISAPI,但我不太了解 C++。

4

3 回答 3

1

使用 Set-Cookie 标头。

"Set-Cookie:Test=test_value; expires=Sat, 01-Jan-2000 00:00:00 GMT; path=/;"

为“过期”提供回溯日期将从客户端删除 cookie。

于 2008-12-16T20:34:35.093 回答
1

我认为 isapi 过滤器是您唯一的选择。如果您不想使用 c++,则可以在python中完成。

其他选择是将服务器升级到 Windows 2008。在 IIS 7 中,可以用 .net 语言编写 isapi 过滤器。

更改应用程序是更明智的选择。

于 2008-12-16T21:03:42.290 回答
1

只是一个猜测,因为问题并不具体,但如果您不希望 cookie 中的信息是为了阻止某人阅读它并将其用于其他目的,您可能需要查看某种可逆加密或其他一些混淆技术,以防止信息被人类阅读。

我不知道 ASP 和 ASP.NET 是否可以读取 Session 或 App 变量,但您可能还想研究使用数据库表来存储信息并给他们一个用于查找的会话 ID . 有点像临时会话变量。

To get a better answer, you might want to edit the question to be more specific about what "security issues" you are worried about. They may be non-issues or there may be a way of dealing with the issue itself that doesn't involve odd hacks.

As much as I'd like to say "Just change it all to one or the other" I understand that that isn't always an option. ;)

于 2008-12-16T22:08:25.777 回答