C#会话保存/不可操作吗?让用户验证并登录
我正在为自己建立一个网站,连接到一个用户数据库。 用户登录后,我将用户名保存到会话变量中。 e、 g.会话[“用户”]=anyString; 因此,每当用户访问我网站上的某个页面时,我都会检查该用户变量是否为null,是否与数据库中的某个用户匹配。如果返回false,我将用户重定向到我的主页 现在我的问题是,这是一种安全的做法吗?C#会话保存/不可操作吗?让用户验证并登录,c#,asp.net,session,C#,Asp.net,Session,我正在为自己建立一个网站,连接到一个用户数据库。 用户登录后,我将用户名保存到会话变量中。 e、 g.会话[“用户”]=anyString; 因此,每当用户访问我网站上的某个页面时,我都会检查该用户变量是否为null,是否与数据库中的某个用户匹配。如果返回false,我将用户重定向到我的主页 现在我的问题是,这是一种安全的做法吗? 会话是否可以从外部操作/访问?会话变量位于web服务器内存中。所以它不能在服务器外部操作。客户端浏览器可以访问Cookie和viewstate 是的,会话可以在ASP
会话是否可以从外部操作/访问?会话变量位于web服务器内存中。所以它不能在服务器外部操作。客户端浏览器可以访问Cookie和viewstate
是的,会话可以在ASP.Net中劫持 更多信息:
为了防止会话劫持,请使用适当的安全措施,如表单身份验证、加密等。我认为从原则上讲,这是一种可靠的方法。无法从客户端直接访问会话。我还将查看FormsAuthentication,以允许ASP.NET“marshall”未登录时可以访问的页面等。非常感谢!这就是我需要的。:)