会话、cookie 和安全性答案

【问题标题】：Session, cookies and Security会话、cookie 和安全性
【发布时间】：2011-10-03 22:18:38
【问题描述】：

我遇到了问题。

我有一个网络应用程序，我在其中执行以下操作：

1)登录
2）稍后提取cookie 3)注销 4)手动插入cookie

当我再次访问某个页面时，我已登录。我该如何解决？我想要 cookie 过期。

感谢您的回复。

【问题讨论】：

【解决方案1】：

我建议你使用内置的表单身份验证机制。

【讨论】：

【解决方案2】：

那个 cookie 里有什么？只是一个“loggedin = yes”的值？

在这种情况下，您可以将其更改为“loggedinsession = {current session ID}”。

在注销时，删除 cookie（将值设置为空，没有过期）和 .Abandon() 会话（因此新请求会获得新的会话 ID）。

然后登录检查从“cookie 是否存在”变为“值是否与当前会话 ID 相同”。

【讨论】：

localhost FALSE / FALSE .ASPXAUTH AB0CE30382A679E7C57832E944B1969EC3CAF4E7DE42108...
我想在服务器端销毁会话，以便在注销时保护用户
@Tarlak - 查看 Session.Abandon() 方法（查看答案中的编辑链接）