据我所知,由FormsAuthentication创建的AuthCookie负责加密(我是对的吗?)并创建Auth Token。一旦创建,令牌/ authCookie就会在每个客户端上传递< - >服务器公报
根据我的理解,让令牌不被劫持,我们需要将网站置于SSL(HTTPS)下
Quesetion#1:AJAX调用是否会破坏我们网站的安全性?他们甚至会在HTTPS下工作。
问题2:我们使用IIS7.5,我们的一些页面不需要安全登录;但鉴于AuthCookie,我想最好将所有内容都放在HTTPS下。这种方法会有明显的性能缺陷吗?还有哪些其他缺点?
欢呼声
答案 0 :(得分:1)
您的理解是正确的。 ASP.NET管理您的FormsAuthentication令牌的加密,这是您的身份验证cookie的值,这可以防止篡改,但如果通过HTTP通过线路发送,它可以容易被第三方盗窃导致会话劫持。
针对您的具体问题:
不,AJAX调用不应该损害您网站的安全性,特别是因为它们确实应该通过HTTPS工作。
是。当您拥有需要身份验证的网站时,您应该在HTTPS下运行所有内容。对于相对现代的计算机,在HTTPS下运行的性能影响应该是最小的。当然,根据您的具体情况进行测试总是有价值的,但通常情况下,影响是一位数或更低的百分比,并且通常不会被认为是显而易见的。