SessionID在IE8中转移表单身份验证问题

时间:2011-11-16 17:29:28

标签: asp.net-mvc internet-explorer-8 forms-authentication

最近我注意到我维护的网站登录过程存在问题。

使用IE8登录网站时,表单身份验证设置的.authuser cookie会移动UID。在我测试的任何其他浏览器中都不会发生这种情况。 [ie6,ie7,ie9,FF6,FF7,FF8,Chrome,Safari]

  1. 用户访问网站。清理浏览器会话。
  2. 向用户提供带有UID的.authuser cookie
  3. 用户进入登录页面并登录
  4. 用户在登录时成功并被重定向
  5. 为用户提供新的.authuser cookie UID值

    6. 由此产生的最大问题是,登录cookie集实际上允许用户像亚马逊那样以“部分身份验证”的形式返回。这意味着用户可以在与会话相关的站点上执行各种操作,当他们使用IE8登录时,所有数据都将丢失并破坏站点中的某些进程。

0 个答案:

没有答案
相关问题
最新问题