标签: asp.net-core session-cookies session-fixation
我想了解即使会话不是非cookie会话并且cookie也已安全,如何可以进行中间人攻击。
在服务器端每次成功登录时,我都不会更改ASP.NET核心会话ID。它仍然与登录页面相同。
如果无法通过URL,攻击者如何将他的sessionID注入我的请求中?