IE VS Chrome 和 Firefox 中的网络安全(错误)

【问题标题】:Web Security in IE VS Chrome & Firefox (bug)IE VS Chrome 和 Firefox 中的网络安全(错误)
【发布时间】:2014-06-16 16:22:01
【问题描述】:

为什么网络安全在不同浏览器上的工作方式不同:

详情:

我有两个应用程序

一个是简单的HTML 应用程序,另一个是ASP.NET MVC4 WebApi 应用程序,项目在同一个解决方案中,我设置了多个启动项目以同时运行应用程序。

工作版本:

我在 Web API 项目中使用了 Web Security。我已经全面实施了网络安全......

登录操作代码 

// GET api/company
[System.Web.Http.AcceptVerbs("Post")]
[System.Web.Http.HttpPost]
public HttpResponseMessage Login(LoginRequest loginRequest)
{
    try
    {
        if (WebSecurity.Login(loginRequest.EmailAddress, loginRequest.Password, true))
        {
            var userDetails = new string[2];
            userDetails[0] = loginRequest.EmailAddress;
            var currentUSerRole = Roles.GetRolesForUser(loginRequest.EmailAddress);
            userDetails[1] = currentUSerRole[0].ToString();
            HttpResponseMessage response =
                Request.CreateResponse(HttpStatusCode.Accepted, userDetails);
            return response;
        }
        else
        {
            HttpResponseMessage response
                = Request.CreateResponse(HttpStatusCode.Unauthorized);
            return response;
        }
    }
    catch (Exception e)
    {
            HttpResponseMessage response
            = Request.CreateResponse(HttpStatusCode.Unauthorized);
           return response;
    }  
}

当我使用Ajax 调用登录方法时,*WebSecurity.Login* 正在所有浏览器上工作。 但我在另一个控制器中有另一种方法,名为CurrentDateAndUser

代码: 

[AllowAnonymous]
[System.Web.Http.AcceptVerbs("Get")]
[System.Web.Http.HttpGet]
public HttpResponseMessage CurrentDateAndUser()
{
    if (WebSecurity.IsAuthenticated)
    {
        int userId = WebSecurity.CurrentUserId;
        string[] currentDateAndUSerId = new string[2];
        currentDateAndUSerId[0] = userId.ToString();
        currentDateAndUSerId[1] = DateTime.UtcNow.ToString();

        HttpResponseMessage response =
            Request.CreateResponse(HttpStatusCode.Accepted, currentDateAndUSerId);
        return response;
    }
    HttpResponseMessage responseNew =
        Request.CreateResponse(HttpStatusCode.NotAcceptable);
    return responseNew;
}

问题:

  • 如果我使用 Ajax 调用从 Microsoft Internet Explorer 调用 CurrentDateAndUser 方法,那么一切正常。 WebSecurity.IsAuthenticated 返回 true 并且运行良好。

然而

  • 如果我使用 Ajax 调用从 Google Chrome 或 Mozilla Firefox 调用 CurrentDateAndUser 方法,则没有任何效果。 WebSecurity.IsAuthenticated 总是返回 false。

我不知道为什么。如果您有任何想法,请告诉我。

我也发现了一个类似的问题(不确定是不是真的问题):

当我使用 Fiddler 运行我的应用程序时,我看到了不同的结果:

当我从 IE 调用 CurrentDateAndUser 方法时,请求是:

我可以在上图中看到 Cooke/Login 值

但是当我从 Chrome 和 Firefox 调用 CurrentDateAndUser 方法时,请求是:

我看不到 cookie 值,这意味着 Web Security.IsAuthenticated 属性正在返回 false

WebSecurity中的Bug??????

编辑

我的 Ajax 请求代码是 

function GetCurrentUserId() { 
    return $.ajax({
        method: 'GET',
        url: rootUrl + '/api/Common/CurrentDateAndUser',
        async: false
    }).success(function (response) {
        return response[0];

    }).error(function () {
        toastr.error('Somthing is wrong', 'Error');
    })
}

当我在 Chrome 和 Firefox 中运行应用程序时,此请求不会将 Auth Cookie 值发送到 Web API 方法,但是,如果在 IE 中运行,此请求会将 cookie 值发送到 API 方法 em>

我已经发布了图片,请看上面的图片

【问题讨论】:

  • 可能你只需要在第二种情况下发送 HttpStatusCode.Unauthorized 以使浏览器再次登录。
  • 我也试过了。这是没有用的。我想我有任何 cors 问题,但我还没有得到解决方案。 f**King 问题..
  • 用 fiddler 调用你的应用程序,看看在 firefox 和 chrome 上会发生什么。你应该看到一个 401 代码。如果您收到 401 并且没有提示输入用户名,如果代码与 401 不同,则它是浏览器上的一个错误,您将覆盖响应。通常你应该看到两个 401,然后是 2** 或 3** 响应。
  • PS:我假设您将 CurrentDateAndUser 更改为使用 HttpStatusCode.Unauthorized 进行错误回复
  • 为什么端口号不同(50949 vs 12345)?并查看此问题的答案(阅读他们对 IE 行为的看法):stackoverflow.com/questions/1612177/…

标签: c# javascript asp.net asp.net-mvc asp.net-web-api


【解决方案1】:

它周围有 3 件事:

WebSecurity.IsAuthenticated 实际上返回 HttpRequest.IsAuthenticated 的值,如果 Forms Authentication cookie 已设置并且是最新的,则返回 true。在用户成功登录后发出下一个请求之前它不可用,这就是您看到您描述的行为的原因。

我记得在 MSDN 或其他地方阅读过,WebSecurity.IsAuthenticated 在页面完全加载之前不起作用。这意味着如果您在页面中登录用户并且在您检查 IsAuthenticated 的同一代码流中,它将不会返回 True。要使 IsAuthenticated 为 True,必须重新加载页面或使用更好的做法;这是在登录成功后立即将用户重定向到另一个安全页面,并在该页面中检查 IsAuthenticated。

我们在使用 Chrome(版本 21.0.1180)时遇到了同样的问题。尽管我们在 Header 上看到了过期日期,但 Windows XP 中的一些 Chrome 忽略了它。然后我们删除了 Expiration Date 并且 Chrome 接受了保持会话 cookie 没有问题。

那么要做的是: 登录后尝试在新页面上检查此内容,而不是在同一页面上。

也尝试显式设置 cookie

System.Web.Security.FormsAuthentication.SetAuthCookie(user.Username, false);

【讨论】:

  • 第一段来自asp.net网站,第二段来自这个堆栈溢出网站,第三段是支持chrome网站。我已经全部阅读了。我很想念你理解我的问题。我的问题是当我从 Chrome 和 FirFox 运行应用程序时,ajax 方法不发送身份验证 cookie。有道理吗?
  • 谢谢!请再次查看我的问题,我已经编辑了我的问题。并解释一下
  • 是域问题吗? \
  • 你试过不同的机器吗?
  • 是的,我在不同的机器上试过。同样的问题。
【解决方案2】:

问题根本不在于网络安全,而在于您实施安全性的方式。您绝不应该在 cookie 中使用用户 ID、电子邮件或任何重要的内容。

我建议您使用 FormsAuthentication 类来加密和解密您的 cookie,即使这样,也只存储诸如 SessionID 和该会话 ID 的自定义哈希值之类的内容,以便在您解密 cookie 时验证您自己

这是一个很好的例子:http://www.c-sharpcorner.com/uploadfile/nipuntomar/update-formsauthenticationticket/

【讨论】:

  • 谢谢!请再看一次我的问题,我已经编辑了我的问题。并解释一下
  • +1 我同意你的回答。但这就是为什么要在 IE 中工作?但为什么它在 Chrome 和 FireFox 中不起作用?
  • 我一直在环顾四周,但我不太清楚为什么 IE 会,而 Firefox/Chrome 不会。由于您在本地托管/调试,因此可能与允许更多访问权限的 IE 设置有关。尝试将其托管在远程站点上,看看 IE 是否仍然发送 cookie?这是另一个可能有帮助的链接:stackoverflow.com/questions/7911710/…
  • 我喜欢这个链接,我会试试的
【解决方案3】:

我不知道这是否有帮助。

但我记得我正在学习 jQuery ajax 所以我在笔记本电脑上设置了一个简单的项目。当我测试它时,它在 IE 上运行良好,但在 Chrome 中失败了。搜索了几个小时后,我发现 Chrome 不允许来自本地机器的 AJAX 请求。当我使用实际的 Web 服务器对其进行测试时,它在 IE 和 Chrome 上运行良好。

所以我的问题和建议是:您是在同一台机器上进行测试吗? 尝试将其部署到运行具有唯一域名的 Web 服务器的机器上并测试您的应用程序!

【讨论】:

  • are u testing on the same machine??是的。我会试试那个家伙。
  • 请部署到远程服务器并测试您的浏览器并给我们反馈
  • 另外一个测试来证实这个假设,是尝试用任何不涉及安全的简单项目来测试 Ajax,看看浏览器在同一台机器上的响应方式,以及它们在真实网站上的响应方式
猜你喜欢
  • 2014-06-06
  • 2020-04-11
  • 2017-11-09
  • 2010-09-27
  • 2016-10-26
  • 2012-06-30
  • 1970-01-01
  • 1970-01-01
  • 2013-03-07
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode