去除asp.net 2.0的会话cookie ASP.NET_SessionId 的httponly属性

最新推荐文章于 2021-12-24 17:58:26 发布
最新推荐文章于 2021-12-24 17:58:26 发布
阅读量3.8k 收藏
点赞数
分类专栏: ASP.NET MVC IIS
ASP.NET MVC 同时被 2 个专栏收录
220 篇文章 18 订阅
订阅专栏
IIS
34 篇文章 1 订阅
订阅专栏

http://www.7es.cn/Software_development/remove-aspx-sessionid-httponly.shtml

标题写的很难看,说起来这个问题比较不容易发现。

最近用采集程序在线发布内容到我的一个小站,站用的我用asp.net写的cms后台程序,原来貌似可以正常的实现自动登录自动在线发布,单前端出了问题,一直登录不正常,多方查找原因都不知道为什么。后来偶然机会,想到是不是asp.net的sessionid没有被采集程序正常捕获到,造成登录会话丢失,无法发布。
asp.net页面被访问时,就会给访问者生成一个session,这个会话会一直保留到该访问者离开,甚至可以更久。而访问者则需要每次访问页面时带上这个session的一个id,即写到客户端cookie中的ASP.NET_SessionId,当然这个是默认情况下,通过配置也可以通过url传递sessionid等,此处不论。
从.net 2.0之后,ASP.NET_SessionId 这个cookie被加上了httponly属性,话说httponly,就是让某个cookie值无法通过客户端脚本获取,避免一些安全性的问题,比如跨站攻击等。当然,既然该cookie传递到了客户端,通过一些手段还是能读取到,只是常见的软件,默认是不允许访问该值的,比如ie6 sp1之后版本的浏览器。通过一些http通讯监控程序也能轻松的捕获这个值。
测试表明,正是因为ASP.NET_SessionId这个cookie被赋予了httponly属性,致使采集工具软件没法正确的记录session,从而发布文章到cms时被告知没有登录。因为会话丢失了。
那么,如果去除ASP.NET_SessionId的httponly属性,应该可以解决问题,ASP.NET_SessionId在访问者访问第一个页面文件时,就会产生,那么是否可以再会话产生时修改该值呢。
查找文档得知,可以再应用全局程序文件中,关闭ASP.NET_SessionIdhttponly,具体是给asp.net程序添加全局应用程序类文件Global.asax,编辑该文件代码,在会话生成事件函数Session_Start中加入如下代码

 
  1. protected void Session_Start(object sender, EventArgs e)
  2.  {
  3.        Response.Cookies["ASP.NET_SessionId"].HttpOnly = false;
  4.  }

 这样无论你的访问者先打开那个页面访问你的站点,都会关闭cookie ASP.NET_SessionId的httponly属性了,当然如果你只想在某个文件被访问时处理特殊的会话效果,也可以在某个页面文件的代码中进行同样处理。
关闭httponly之后,那个采集器程序可以正常获取会话id并正常发布了。
不好的就是,这样也会造成一些不必要的安全问题哦。

mituan1234567
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
会话cookie中缺少HttpOnly属性漏洞--分析解决
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
ASP.NET下对cookies的操作实现代码
01-01
代码如下: public class ... /// <summary> /// 是否只允许在服务器端访问,默认只允许在服务端访问 /// </summary> public bool HttpOnly { get { return _httpOnly; } set { _httpOnly = value; } } private double _e
.net 获取浏览器Cookie(包括HttpOnly)实例分享
10-26
介绍了.net 获取浏览器Cookie(包括HttpOnly)实例,有需要的朋友可以参考一下
Asp.net MVC 添加httpOnly属性
weixin_30856965的博客
01-01 440
<httpCookieshttpOnlyCookies="false"requireSSL="false"/> 转载于:https://www.cnblogs.com/ztiandan/archive/2013/01/01/2841671.html
www.httponly_ASP.NET 1.1上的HttpOnly Cookies
cunfuxiao7305的博客
09-27 85
www.httponlyInternet Explorer 6 SP1 supports an extra "HttpOnly" cookie attribute, that prevents client-side script from accessing the cookie via the document.cookie property. Cookies still round trip...
ASP.NET_SessionId 何时生成?何时失效?有何作用呢?
weixin_46879188的博客
12-24 4348
相信做asp.net web开发的码友们,对ASP.NET_SessionId一定不陌生。ASP.NET_SessionId保存在浏览器cookie中。那么它是来源于哪里?何时生成?何时失效?有何作用呢? 带着这些疑问,我们开始探寻它。废话不多说,实践才是检验真理的最好方法,直接上代码。 打开VS建立一个APS.NET MVC 程序,在HOME页面添加如下代码: clearSession和clearSessionId这两个是ajax方式请求过去的,不会刷新页面,对应的后台方法如下: 对应的action代
服务器禁止显示aspsessionid,ASP.NET WebService中使用ASP.NET_SessionId的问题说明
weixin_39632693的博客
08-04 235
今天在帮助同事解决对WebService进行 Web References 调用问题:当调用webservice第一个方法Method1发现服务端Set-Cookie: ASP.NET_SessionId=*****保存了ASP.NET会话状态。接着当我再调用webservice的第二个方法Method2时发现无法正确返回服务器端处理结果也就是说webservices进行http post 的时...
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
实验-三、数据库安全性(目的、要求和模板).doc
04-24
实验-三、数据库安全性(目的、要求和模板).doc
基于Docker搭建K8s集群离线包
04-24
基于Docker搭建K8s集群离线包,包含部署时所需的全部文件,可在内网环境中使用,K8s为1.23.0版本,docker为20.10.9-3版本
基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip
04-24
基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行!基于springboot+vue实现的求
基于Android系统Api封装常用工具类.zip
04-24
基于Android系统Api封装常用工具类.zip
基于PCA和SVM的人脸识别
最新发布
04-24
svm 基于PCA(主成分分析)和SVM(支持向量机)的人脸识别是一种常见的方法。这里是一个简要说明: PCA(主成分分析): PCA是一种降维技术,它通过线性变换将高维数据转换为低维数据,同时保留最大的数据方差。 在人脸识别中,PCA被用来提取人脸图像中的主要特征,从而减少数据的维度,并保留最重要的信息。 SVM(支持向量机): SVM是一种监督学习算法,用于分类和回归分析。 在人脸识别中,SVM被用来构建一个分类器,以将提取的人脸特征映射到相应的人脸身份标签。 基于PCA和SVM的人脸识别流程: 训练阶段: 收集训练数据集,包括多个人的人脸图像和相应的标签。 对每个人脸图像应用PCA,将其转换为低维特征向量。 使用这些特征向量训练一个SVM分类器,使其能够将人脸特征向量与相应的人脸标签关联起来。 测试阶段: 对待识别的人脸图像应用相同的PCA转换,将其转换为与训练数据相同的低维特征向量。 使用训练好的SVM分类器,将待识别的人脸特征向量与已知的人脸标签进行比较,从而确定其身份。 优点: PCA可以有效地降低数据的维度,减少计算复杂度,并提取最相关的特征。 SVM在处理
天津科技大学-答辩通用PPT模板我给母校送模板作品.pptx
04-24
PPT模板,答辩PPT模板,毕业答辩,学术汇报,母校模板,我给母校送模板作品,周会汇报,开题答辩,教育主题模板下载。PPT素材下载。
Java SE Development Kit 11.0.23 macOS x64 DMG Installer
04-24
Java SE Development Kit 11.0.23 macOS x64 DMG Installer
asp.net core blazor server 登录cookie认证
05-31
ASP.NET Core Blazor Server 应用程序可以使用 ASP.NET Core 身份验证中间件来实现基于 Cookie 的登录认证。以下是实现此功能的基本步骤: 1. 在 Startup.cs 文件的 ConfigureServices 方法中添加身份验证服务: ``` services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(options => { options.LoginPath = "/Login"; options.LogoutPath = "/Logout"; options.Cookie.Name = "MyAppCookie"; options.Cookie.HttpOnly = true; options.Cookie.SameSite = SameSiteMode.Strict; options.Cookie.SecurePolicy = CookieSecurePolicy.Always; options.SlidingExpiration = true; }); ``` 在上面的代码中,我们使用 AddCookie 方法添加了基于 Cookie 的身份验证方案,并设置了一些选项。其中,LoginPath 和 LogoutPath 分别指定了登录和注销的 URL,Cookie.Name 设置了 Cookie 的名称,Cookie.HttpOnlyCookie.SameSite 分别设置了 Cookie 的安全选项,Cookie.SecurePolicy 设置了 Cookie 的安全协议,SlidingExpiration 启用了滑动过期时间。 2. 在 Configure 方法中启用身份验证中间件: ``` app.UseAuthentication(); ``` 3. 在登录页面或组件中使用 SignInManager 和 UserManager 进行身份验证: ``` var result = await _signInManager.PasswordSignInAsync(username, password, rememberMe, lockoutOnFailure: false); if (result.Succeeded) { return RedirectToPage("/Index"); } else { ModelState.AddModelError(string.Empty, "用户名或密码不正确。"); return Page(); } ``` 在上面的代码中,我们使用 PasswordSignInAsync 方法验证用户的用户名和密码,并在验证通过后重定向到主页。 4. 在需要验证的页面或组件上使用 AuthorizeView 组件: ``` <AuthorizeView> <Authorized> <!-- 显示受保护的内容 --> </Authorized> <NotAuthorized> <p>请先登录。</p> <a href="/Login">登录</a> </NotAuthorized> </AuthorizeView> ``` 在上面的代码中,我们使用 AuthorizeView 组件来判断用户是否已经登录。如果已经登录,就显示受保护的内容;如果没有登录,就显示一个提示信息和登录链接。 以上是在 ASP.NET Core Blazor Server 应用程序中实现基于 Cookie 的登录认证的基本步骤。根据具体需求,还可以使用自定义身份验证方案来进行更复杂的登录认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值