У нас есть проблема захвата сеанса и фиксации сеанса с нашим приложением asp.net. Мы также внедрили SSL.Захват сеанса и фиксация сеанса
1 .. Я добавил код ниже в файле web.config.
< ----
<httpCookies httpOnlyCookies="true" requireSSL="true" />
<forms loginUrl="Homepage.aspx"
protection="All"
timeout="20"
name=".ASPXAUTH"
path="/"
requireSSL="true"
slidingExpiration="true"
/>
--->
2 ... шифрованной formsathuntication билет и добавив к куки после пользователя athunticated.
< ---
FormsAuthenticationTicket TKT;
string cookiestr;
HttpCookie ck;
tkt = new FormsAuthenticationTicket (1, uname, DateTime.Now, DateTime.Now.AddMinutes (20), false, «ваши пользовательские данные»);
cookiestr = FormsAuthentication.Encrypt (tkt);
ck = new HttpCookie (FormsAuthentication.FormsCookieName, cookiestr); ck.Path = FormsAuthentication.FormsCookiePath;
Response.Cookies.Add (ck);
->
3 .. Я удаляю переменные сессии и передавая нулевое значение ASP.NET_SessionId на странице выхода из системы и страницы ошибок.
SessionHandler.EndSession();
Session.RemoveAll();
Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));
if (Request.Cookies["ASP.NET_SessionId"] != null)
{
Response.Cookies["ASP.NET_SessionId"].Value = string.Empty;
Response.Cookies["ASP.NET_SessionId"].Expires = DateTime.Now.AddMonths(-20);
}
if (Request.Cookies["AuthToken"] != null)
{
Response.Cookies["AuthToken"].Value = string.Empty;
Response.Cookies["AuthToken"].Expires = DateTime.Now.AddMonths(-20);
}
HttpCookie authcookie = Request.Cookies[FormsAuthentication.FormsCookieName];
authcookie.Expires = DateTime.Now.AddDays(-1D);
Response.Cookies.Add(authcookie);
FormsAuthentication.SignOut();
до сих пор проблема не решена ...
Все, что вам нужно, это вопрос. – JohnFx
Любая возможность встраивания HTML на ваш сайт, где пользователи могли бы разместить, например, пользовательский URL-адрес изображения? Это один из источников захвата сеанса. В противном случае может быть задействована социальная инженерия, и вам нужно будет отслеживать, как пользователи обращаются к вашему сайту. Это не обязательно техническая проблема, связанная с самими сеансами. – mellamokb