由于Flash中存在错误,我必须使用ASPXAuth cookie将用户登录到上传后Flash上传脚本调用的页面上。有关详细信息,请参阅此页面:http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx
我必须将ASPXAUTH字符串设置为“public”,因为它将在页面的HTML中。我的问题是,这有多安全?
据我所知,任何可以访问HTML中的字符串的人都可以轻松地从cookie中获取它,但是假设有人确实拥有此ASPXAUTH字符串。是否有可能他们可以使用此cookie以其他用户身份登录?他们能解密吗?
巴拉
答案 0 :(得分:4)
如果第三方获得了您网站使用的解密密钥,则可以解密表单身份验证cookie的值。否则,我想这将是使用强力方法破解它的情况。
答案 1 :(得分:1)
确保阻止页面在客户端,代理和服务器上缓存。
如果页面在标记中包含aspxauth cookie值,您真的不希望页面存储在任何缓存中。
如果是非常敏感的数据,我个人会使用SSL进行连接。