__RequestVerificationToken被通配符域混淆

时间:2018-09-20 12:39:39

标签: c# cookies session-cookies

一个奇怪的问题,但是我们的一些用户注意到“无法伪造防伪令牌”的问题。在我们的C#.NET应用程序中。我们发现了这个问题,这是由于当客户端从相同的父域但在不同的子域中查看另一个站点时,我们有两个__RequestVerificationToken。一个用于我们的网站,例如portal.mywebsite.com,另一个用于域.mywebsite.com的__RequestVerificationToken ...因此,这混淆了portal.mywebsite.com的防伪检查,因为一个令牌本质上用于通配符域。仅当客户同时查看两个网站时,才设置两个令牌。

我的问题是我们如何避免这种情况,有没有一种方法可以使门户网站查找portal.mywebsite.com域会话cookie?

亲切的问候,

迪米塔尔

0 个答案:

没有答案