我想了解以下场景中 ASP.NET MVC 中 tempdata 的安全性。
如果一个用户登录并且有数据传递给 tempdata 并且我们正在为下一个请求保留数据,或者我们没有读取它,因此它将值保留在 tempdata 中。如果另一个用户登录,那么该 tempdata 值是否也可供第二个用户使用?
【问题讨论】:
TempData 使用 Session(其用户特定)
标签: asp.net-mvc security tempdata
TempData默认使用Session*。因此,它与会话一样安全。
会话对于每个用户来说都是单独的,所以是的。
Session Hijacking 是会话的一个问题,但由于TempData 仅对一个请求有效,所以我看不到任何问题。
* 请注意,可以创建自己的ITempDataProvider(归功于NightOwl888)。在这种情况下,您需要评估您的提供商是否安全。
【讨论】:
TempData 默认使用Session。您可以更改提供程序以使用另一种存储机制。例如,这里是cookie-based TempData provider。