HI,
现在某人是一个让会话不可转让的好方法,因此用户无法将会话令牌ID从一台机器移动/复制到另一台机器上吗?
谢谢!
答案 0 :(得分:1)
为什么不加密传入IP地址的字符串并放置在会话中。然后,当使用会话对象时,您可以通过解密会话中的ip并根据请求IP检查它是否有效来验证它。
只是一个想法。如果您需要代码,请告诉我。
答案 1 :(得分:0)
将web.config文件中cookieless节点的sessionState属性设置为false,以便您使用Cookie来存储会话密钥而不是URL。以下是关于此主题的几篇(较旧)文章:
Cookie也不完全“安全”。如果您要google the topic,则会将其称为session hijacking。