我有一个 Web 应用程序,目前有
<sessionState timeout="43829" />
我知道这是一个巨大的价值。我想了解具有如此高超时的含义。
基本上,用户习惯了Windows客户端应用程序,当构建此Web应用程序以替换当前应用程序时,他们不希望超时。我相信这就是如此高的超时谷的原因。
我试图理解拥有如此大价值的陷阱。
拥有更大的时序可能会增加CSRF或其他类似攻击的可能性。
由于 HTTP 是无状态的,因此站点通常使用 Cookie 来存储标识每个用户请求的会话标识符。必须维护每个会话 ID 的保密性,以便多个用户无法访问同一帐户。一旦会话ID被盗,它可用于查看另一个用户帐户,甚至执行欺诈交易。