问候,大家:
首先,很抱歉我的流程描述冗长,但我认为这可能有助于描述问题。
背景:
构建使用托管付款页面处理付款的asp.C#购物应用程序(使用将数据发布到托管付款页面)。 SSL证书已签名并安装。
流速:
Prelim)(HTTPS)用户使用asp登录控件进行身份验证
1)用户将商品添加到购物车。
2)(HTTPS)用户转到结帐页面。
3)用户最终确定订单,然后在同意T& C后立即点击付款。
4)服务器获取购物车数据(来自MSSQL2005)并设置交易cookie(到期时间设置为20分钟)。
5)(HTTPS)服务器响应。重定向到html页面(与登录受保护页面位于同一文件夹中)。
6)Html页面读取事务cookie数据并生成表单字段。
7)(HTTPS)Html页面将数据发布到托管支付页面(php)。
8)用户输入付款信息并立即点击付款。
9)(HTTPS)托管的付款页面将信息发回到.aspx页面,该页面检查付款是否正常。
10a)如果付款!确定,重定向到被拒绝的页面。
10b)(HTTPS)如果付款确定,则设置验证cookie(到期时间设置为20分钟)。然后重定向到另一个html页面。
11)Html页面读取cookie数据并生成表单字段。
12)(HTTPS)Html页面将数据发布到托管验证页面(php)。
13)验证页面验证(当然),如果交易正常。
14)(HTTPS)验证页面将数据发布到.aspx页面,检查验证是否正常。
15)如果验证确定,则处理订单并执行收据。
问题:
此控制流程在未签名的开发环境中进行了测试。如果需要在未签名的SSL证书上,则强制执行SSL。所以我们会得到提示证书可能不好,但控制流程无缝地工作。
但是,现在使用已签名的SSL证书,从第5步到第6步,我们遇到的情况是某些用户(每次都没有重复,但确认它确实发生了),当他们现在点击付款并重定向到在html页面中,它们被强制回到〜/ login.aspx页面(好像它们已经被注销)。
注意事项:
a)会议没有超时。
b)浏览器启用了Cookie和javascript。
c)我可以在同一台计算机上与其他帐户无缝地处理整个流程,偶尔也会使用相同的帐户。
所以,基本上,我很难过......这是一个视图状态错误吗?一个登录控件错误,不允许我重定向到HTML页面,因为它现在使用真正的SSL?任何人都有这种交易的经验吗?此时我对解决方案感到茫然。
非常感谢任何帮助。亲切的问候,
JRA
答案 0 :(得分:1)
只是如果您在流程中随时在普通HTTP上使用身份验证cookie,则会失去安全性。安全cookie旨在防止这种情况,我只是想知道该区域的配置是否可能发生变化。 - 布鲁诺9月10日14:36似乎这个问题已经解决了。再次感谢您的协助,布鲁诺!