虚拟主机使用ASP.NET自带的FORM验证漏洞问题
虚拟主机使用ASP.NET自带的FORM验证时,每个客户端的用于记录验证的COKE都是与客户端无关的,只与服务器有关;但虚拟主机是多个网站公用一个服务器,所以用一个虚拟空间产生的COKE就可以任意登陆其他虚拟空间的网站.看来还是用SEESION好点,那用了SESSION还要自带的FORM验证干嘛?大家讨论下,麻烦大虾给讲下自带的FORM验证和SESSION的完整流程和原理.
[解决办法]
帮顶了
[解决办法]
楼主应该弄错了吧,form其实就是加密的cookies
[解决办法]
用session的话每张网页都要判断(在page_load里)
自带的Form认证只要在web.config,页面里不需要再写代码
虚拟机上还是用自己的form认证session、cookie,这样好点
[解决办法]
继承PageBase就行了,不用每个都写验证。
[解决办法]
直接写在webconfig里不就行了?
[解决办法]
理解错了吧。。。
[解决办法]
你自己的电脑建两个站点,你用一个登录,看能不能用第二个?
[解决办法]
的确是个很大的漏洞!!!
