我正在为自己建立一个网站,连接到一个用户数据库。用户一登录,我就将用户名保存到会话变量中。例如会话["用户"]=anyString;因此,每次用户访问我网站上的页面时,我都会检查这个用户变量是否为空,是否与我数据库中的用户匹配。如果返回false,我会将用户重定向到我的主页。
现在我的问题是,这种做法安全吗?是否可以从外部操作/访问会话?
是的,会话可以在ASP.Net 中劫持
更多信息:
http://www.codeproject.com/Articles/859579/Hack-proof-your-asp-net-applications-from-Session
http://www.c-sharpcorner.com/UploadFile/suthish_nair/how-to-avoid-session-hijacking-in-web-applications/
为了防止会话劫持,请使用适当的安全措施,如表单身份验证、加密等。
Session变量在web服务器内存中。所以它不能在服务器外操作。客户端浏览器可访问Cookie和视图状态
https://msdn.microsoft.com/en-us/library/ms178581(v=vs.140).aspx