.net 反间谍软件删除单点登录cookie
我们为一系列网站提供了单一登录实现,其中身份验证cookie来自根域(例如bar.com),允许他们登录子域(例如foo.bar.com)。实现是在C#中,使用标准的.net表单身份验证 不幸的是,我们的一些用户的身份验证cookie被反间谍软件删除。我已经能够通过使用PC工具反间谍软件和IE8来重现这种情况 实际结果是,用户登录到该站点,导航到另一个页面,然后被要求再次登录 该cookie被反间谍软件标记为低风险跟踪cookie 有没有办法让我们用户的反间谍软件的口味看起来相当挑剔的人更喜欢cookie 更新: 我已经调查了主要的“问题”,这是一条红鲱鱼。而且,正如我通过via所了解到的,要求实现者提供一个领先的点 进一步阅读使我找到了那篇文章。本质上,许多网站使用子域作为隐藏跟踪cookie的一种方式 看起来有些反间谍软件会尊重父域上的声明。不幸的是,由于缺乏浏览器实现者的支持,P3P的工作已经暂停.net 反间谍软件删除单点登录cookie,.net,cookies,single-sign-on,spyware,.net,Cookies,Single Sign On,Spyware,我们为一系列网站提供了单一登录实现,其中身份验证cookie来自根域(例如bar.com),允许他们登录子域(例如foo.bar.com)。实现是在C#中,使用标准的.net表单身份验证 不幸的是,我们的一些用户的身份验证cookie被反间谍软件删除。我已经能够通过使用PC工具反间谍软件和IE8来重现这种情况 实际结果是,用户登录到该站点,导航到另一个页面,然后被要求再次登录 该cookie被反间谍软件标记为低风险跟踪cookie 有没有办法让我们用户的反间谍软件的口味看起来相当挑剔的人更喜欢c
在这个阶段,我认为问题的解决方案将如一位用户所建议的那样:子域将需要创建自己的身份验证cookie。您可以检查您的身份验证cookie是否正在使用域
.bar.comwww.bar.comfoo.bar.com等.bar.comwww.bar.comfoo.bar.comfoo.www.bar.com更新:看起来您可以覆盖
中的域。您可以查看SAML SSO协议规范中的默认传输以获得更多想法。“所有文档存档”在这里查看协议描述的“断言和协议”,以及可能传输的“绑定”(特别是在重定向和POST时)
通常的想法是,若当前用户已通过身份验证,则以某种方式查询SSO服务器,然后使用自己的cookie缓存该状态。这样,每个应用程序只在自己的域上设置cookies。我构建了这样一个系统。有一个域进行登录(验证站点)。如果登录成功,它会将用户从身份验证站点重定向到使用一次性令牌启动登录的站点。然后,该网站设置了自己的cookie,并对您的叔叔进行bob。当您注销时,您必须直接转到auth站点,该站点将删除cookie作为重定向回站点的一部分。然后,您的站点删除自己的cookie。哈哈哈,希望这有道理 我认为反间谍软件正在像广告宣传的那样工作。考虑重构事物,这样你就有了一个在验证之后重定向到所需资源的Seavon门户(例如,Logial.bar)。我不认为这是与编程有关的。这与编程无关吗?他试图以编程方式创建Cookie,间谍软件不会将其检测为威胁。恐怕我们目前正在使用.bar.com,使用您提供的有用链接中概述的技术。@aboy021:我很担心。如果是这种情况,那么我不确定你能做些什么来克服一个选择忽略标准的反间谍软件。您可以尝试在多个特定域上复制cookie,但我认为反间谍软件也会抱怨您正在为用户当前访问的域以外的域创建cookie。祝你好运找到答案。我认为这种方法肯定会奏效。现在,我要看看我是否能让cookie的形式符合反间谍软件的要求。不幸的是,我们仍然希望保持单点登录功能,因此如果他们登录bar.com
,他们将有效地登录foo.bar.com
和cat.bar.com
。我想用一次性代币我们会输的。根据我所做的测试,父域cookie只在几秒钟后被删除,因此我们应该能够将其用作受影响用户的一次性令牌。。。因此,您登录了foo.bar.com。当你转到cat.bar.com时,服务器会注意到你没有登录cat,因此会将你重定向回foo.bar.com,foo.bar.com知道你已登录,因此会生成一个令牌并将你发送回cat.bar.com,让你登录。如果您未登录foo.bar.com,它会将您发送回cat,并使用另一个令牌表示您未登录,因此不要尝试自动验证我。这样行吗?