我有一个使用表单身份验证的ASP.NET MVC应用程序。
当用户登录时,我会将auth cookie设置为某个值。即:
auth = XXXYYY001
一切都很好。
现在,当启用了滑动到期会话时,当会话到期时间的一半(如文档中所述)时,auth cookie值会发生变化。
auth = XXXYYY002
我对此没有任何问题。
问题是原始cookie值(XXXYYY001)在我尝试在auth cookie值更改后从其他浏览器劫持会话时仍然有效。这是我们在网站上进行的道德黑客工作所标记的,我能够在我建立的一个简单的测试网站上重现它。
我的问题是:我怎么能阻止这种情况发生?我没有查看源代码(我甚至不知道ASP.NET的部分是否是开源的)但是我没有在文档中找到任何告诉我如何处理这种情况的内容。
提前多多感谢。