因为听说竟然有人能通过目前的SessionID算出接下来的SessionID,所以重写一下,防止Session攻击
StringFormat 类没用返回什么都行,这里我变成了base64编码
Common.SessionIdOverride
{
public class SessionIdOverride : System.Web.SessionState.SessionIDManager
{
public SessionIdOverride()
{
//
// TODO: Add constructor logic here
//
}
public override string CreateSessionID(HttpContext context)
{
string sessionString = Guid.NewGuid().ToString() + context.Request.UserHostAddress;
Tools.StringFormat.StringFormat sf = new Tools.StringFormat.StringFormat();
return sf.ToBase64Str(sessionString);
}
}
}
webconfig
<sessionState mode="InProc" cookieless="UseDeviceProfile" timeout="20" regenerateExpiredSessionId="true" sessionIDManagerType="Common.SessionIdOverride.SessionIdOverride" cookieName="ASP.NET_SessionId" />
页面重置Session
Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));
在这里有个奇怪的地方,重写机制我可能没有完全明白,是这样的现象
当重写SessionID时写上这个Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));
SessionID确实变成空了,但是如果不重写SessionID写上这个SessionID还是存在的?留待以后解决
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 25岁的心里话
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 按钮权限的设计及实现