C# 使用ASP.NET表单身份验证，如果新的身份验证cookie被盗，它是否可以在其他PC上使用？_C#_Asp.net_Vb.net_Security

C# 使用ASP.NET表单身份验证，如果新的身份验证cookie被盗，它是否可以在其他PC上使用？

c# asp.net vb.net security

C# 使用ASP.NET表单身份验证，如果新的身份验证cookie被盗，它是否可以在其他PC上使用？,c#,asp.net,vb.net,security,C#,Asp.net,Vb.net,Security,如果攻击者将SetAuthCookie调用中放置的身份验证cookie从受害者PC复制到他们的PC上，是否会认为攻击者已通过web应用程序的身份验证 public static void SetAuthCookie( string userName, bool createPersistentCookie ) 使用标准表单身份验证FormsAuthentication.SetAuthCookie和参数createPersistentCookie=false 假设这适用于web配

如果攻击者将SetAuthCookie调用中放置的身份验证cookie从受害者PC复制到他们的PC上，是否会认为攻击者已通过web应用程序的身份验证

public static void SetAuthCookie(
    string userName,
    bool createPersistentCookie
)

使用标准表单身份验证FormsAuthentication.SetAuthCookie和参数createPersistentCookie=false

假设这适用于web配置设置

<authentication mode="Forms">
    <forms name="MyWebApp" path="/" loginUrl="~/Default.aspx"
     timeout="30" defaultUrl="~/Default.aspx" protection="All"
     requireSSL="true" />       
</authentication>

是；ASP.Net未在身份验证Cookie中包含IP地址。（这甚至对共享WiFi或代理都没有帮助）

但是，由于您拥有

requireSSL=“true”

，攻击者（原则上）将无法获取该cookie。（除非他们可以访问服务器或客户机，在这种情况下，您会遇到更大的问题）

这就是为什么您应该始终使用SSL