有没有理由在经过身份验证的会话中,.ASPXAUTH cookie会改变其值?
ASP.Net_SessionId似乎没有在同一点更改其值(并且会话未过期)。
是否有一些规则规定.ASPXAUTH cookie值会定期更新或出于任何其他原因?
问题是我们正在交叉检查这些cookie在会话期间不会更改的值,以防止xss或会话劫持。
答案 0 :(得分:4)
由于所谓的"滑动到期",Cookie会自动重新发布。如果您的cookie在时间T发出并且cookie超时设置为X分钟,那么在T +(X / 2)向服务器发出的第一个请求将导致重新发布cookie。