我正在维护一个用ASP构建的系统。
登录过程使用SSL。这意味着,当用户点击“登录”时,他的用户名和密码将被安全地发送到服务器。 登录过程生成一个Session对象,该对象是现在登录用户的ID。
完成登录过程后,页面会将浏览器重定向到非安全页面。此页面尝试访问ID会话对象。
直到上周,这个工作正常。我们的系统在IIS6.0上运行,非安全页面可以访问此安全ID会话对象。 但是,在切换到IIS7.5之后,这个不可避免的安全漏洞被关闭了(或者我假设)。非安全页面无法再访问Secure ID Session对象。
对对象的访问就像这样:
string ID = Session(SESSION_USER_ID)
只是为了检查一下,我尝试从安全登录页面访问一个非安全的Session对象 - 这也失败了。
有没有办法从非安全页面访问安全会话对象?
顺便说一句,我可能会误解这里的一些术语,但我认为这种情况或多或少都很清楚。如果不是这样,请告诉我。答案 0 :(得分:1)
之前我遇到过这个问题,我最终绕过它,在进入或退出SSL时,调用一个将会话变量写入cookie的函数,然后从cookie读回SSL会话变量。