去除asp.net 2.0的会话cookie ASP.NET_SessionId 的httponly属性

最新推荐文章于 2021-12-24 17:58:26 发布
最新推荐文章于 2021-12-24 17:58:26 发布
阅读量3.8k 收藏
点赞数
分类专栏: ASP.NET MVC IIS
ASP.NET MVC 同时被 2 个专栏收录
220 篇文章 18 订阅
订阅专栏
IIS
34 篇文章 1 订阅
订阅专栏

http://www.7es.cn/Software_development/remove-aspx-sessionid-httponly.shtml

标题写的很难看,说起来这个问题比较不容易发现。

最近用采集程序在线发布内容到我的一个小站,站用的我用asp.net写的cms后台程序,原来貌似可以正常的实现自动登录自动在线发布,单前端出了问题,一直登录不正常,多方查找原因都不知道为什么。后来偶然机会,想到是不是asp.net的sessionid没有被采集程序正常捕获到,造成登录会话丢失,无法发布。
asp.net页面被访问时,就会给访问者生成一个session,这个会话会一直保留到该访问者离开,甚至可以更久。而访问者则需要每次访问页面时带上这个session的一个id,即写到客户端cookie中的ASP.NET_SessionId,当然这个是默认情况下,通过配置也可以通过url传递sessionid等,此处不论。
从.net 2.0之后,ASP.NET_SessionId 这个cookie被加上了httponly属性,话说httponly,就是让某个cookie值无法通过客户端脚本获取,避免一些安全性的问题,比如跨站攻击等。当然,既然该cookie传递到了客户端,通过一些手段还是能读取到,只是常见的软件,默认是不允许访问该值的,比如ie6 sp1之后版本的浏览器。通过一些http通讯监控程序也能轻松的捕获这个值。
测试表明,正是因为ASP.NET_SessionId这个cookie被赋予了httponly属性,致使采集工具软件没法正确的记录session,从而发布文章到cms时被告知没有登录。因为会话丢失了。
那么,如果去除ASP.NET_SessionId的httponly属性,应该可以解决问题,ASP.NET_SessionId在访问者访问第一个页面文件时,就会产生,那么是否可以再会话产生时修改该值呢。
查找文档得知,可以再应用全局程序文件中,关闭ASP.NET_SessionIdhttponly,具体是给asp.net程序添加全局应用程序类文件Global.asax,编辑该文件代码,在会话生成事件函数Session_Start中加入如下代码

 
  1. protected void Session_Start(object sender, EventArgs e)
  2.  {
  3.        Response.Cookies["ASP.NET_SessionId"].HttpOnly = false;
  4.  }

 这样无论你的访问者先打开那个页面访问你的站点,都会关闭cookie ASP.NET_SessionId的httponly属性了,当然如果你只想在某个文件被访问时处理特殊的会话效果,也可以在某个页面文件的代码中进行同样处理。
关闭httponly之后,那个采集器程序可以正常获取会话id并正常发布了。
不好的就是,这样也会造成一些不必要的安全问题哦。

mituan1234567
关注
专栏目录
会话cookie中缺少HttpOnly属性漏洞--分析解决
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
ASP.NET Core-Session
10-03
ASP.NET Core Session是微软开发的一种在Web应用程序中存储和管理用户会话状态的技术。它允许开发者在用户浏览器的不同请求之间保持数据,这对于实现购物车、用户登录状态等常见功能至关重要。在ASP.NET Core中,...
Asp.net MVC 添加httpOnly属性
weixin_30856965的博客
01-01 465
<httpCookieshttpOnlyCookies="false"requireSSL="false"/> 转载于:https://www.cnblogs.com/ztiandan/archive/2013/01/01/2841671.html
www.httponly_ASP.NET 1.1上的HttpOnly Cookies
cunfuxiao7305的博客
09-27 104
www.httponlyInternet Explorer 6 SP1 supports an extra "HttpOnly" cookie attribute, that prevents client-side script from accessing the cookie via the document.cookie property. Cookies still round trip...
服务器禁止显示aspsessionid,ASP.NET WebService中使用ASP.NET_SessionId的问题说明
weixin_39632693的博客
08-04 275
今天在帮助同事解决对WebService进行 Web References 调用问题:当调用webservice第一个方法Method1发现服务端Set-Cookie: ASP.NET_SessionId=*****保存了ASP.NET会话状态。接着当我再调用webservice的第二个方法Method2时发现无法正确返回服务器端处理结果也就是说webservices进行http post 的时...
ASP.NET系统退出(移除Session 、清除浏览器缓存)
weixin_30521161的博客
06-14 1284
一、在退出时移除Session,首先在登录时要记录登录信息 Session["id"] = user.id.ToString(); Session["name"] = user.name.ToString(); Session["pwd"] = user.password.ToString(); Session["time"] = user.LoginTime.ToStri...
AspnetCoreApplication_asp.net_
10-04
ASP.NET Core中,处理用户会话数据是一项关键任务,特别是在分布式系统中。本示例探讨了如何在ASP.NET Core中利用Redis作为分布式session存储,以实现高可用性和可扩展性。 Redis是一个开源的内存数据结构存储...
ASP.NET编程知识】浅谈谁都能看懂的单点登录(SSO)实现方式(附源码).docx
05-21
token.LoginID = Session.SessionID; Domain.SSO.Entity.SSOToken.SSOTokenList.Add(token); // 拼接带有TokenID的返回URL string spliter = returnUrl.Contains('?') ? "&" : "?"; returnUrl = returnUrl + ...
ASP.NET 中的会话Cookie 管理
## 1.3 ASP.NET 中的会话Cookie 管理的重要性 会话管理是指在网站应用中跟踪用户状态和数据的一种方式。它允许服务器在请求之间存储和检索特定于用户的信息,并在用户与网站进行交互时保持持续性。会话管理在...
网站的自动登录功能,asp.net实现
12-20
同时,考虑使用SessionID重置策略,以减少会话劫持风险。 4. 身份验证:除了基于Cookie的自动登录,还可以使用Token验证,如JWT(JSON Web Tokens),增强安全性。 六、AutoLogin文件分析 "AutoLogin"可能是实现...
Session CookieHttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
常用Web开发语言HttpOnly设置详解
mituan1234567的专栏
07-03 4685
http://www.2cto.com/kf/200905/38080.html by:Neeao Http://www.neeao.com 2009-05-11 ———————————– 关于HttpOnly对于防范XSS来获取 cookies信息的分析,请参考剑心同学写的:利用httponly提升应用程序安全性,这里仅把常用的一些Web开发语言的设置方法整理总结下,备
关于session会话劫持+cookie劫持的一些事--ASP.NET防御
weixin_33690367的博客
09-04 329
2019独角兽企业重金招聘Python工程师标准>>> ...
服务器禁止显示aspsessionid,SessionId 你到底知道多少?
weixin_33267830的博客
08-10 607
在使用Session的过程中你可能还会遇到很多奇怪的问题,结束本节之前笔者列出了几条常见的FAQ,供大家参考:为什么每次请求的SessionID都不相同?可能是没有在Session里面保存任何信息引起的,即程序中任何地方都没有使用Session。只有在Session中保存了内容后,Session才会和浏览器进行关联,此时的SessionID将不会再变化。为什么当我设置cookieless为true...
ASP.NET_SessionId 何时生成?何时失效?有何作用呢?
weixin_46879188的博客
12-24 5225
相信做asp.net web开发的码友们,对ASP.NET_SessionId一定不陌生。ASP.NET_SessionId保存在浏览器cookie中。那么它是来源于哪里?何时生成?何时失效?有何作用呢? 带着这些疑问,我们开始探寻它。废话不多说,实践才是检验真理的最好方法,直接上代码。 打开VS建立一个APS.NET MVC 程序,在HOME页面添加如下代码: clearSession和clearSessionId这两个是ajax方式请求过去的,不会刷新页面,对应的后台方法如下: 对应的action代
小程序毕业设计-基于微信小程序的影院选座系统+ssm(包括源码,数据库,教程).zip
最新发布
09-21
Java 毕业设计,小程序毕业设计,小程序课程设计,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,该项目可以作为毕设、课程设计使用,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行!可以放心下载 1. 技术组成 前端: 小程序 后台框架:SSM/SpringBoot(如果有的话) 开发环境:idea,微信开发者工具 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库可视化工具:使用 Navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本),maven
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值