当前位置:  编程技术>.net/c#/asp.net

asp.net cookie的安全性

    来源: 互联网  发布时间:2014-08-30

    本文导语:    在使用 cookie 时,必须意识到其固有的安全弱点。这里所说的安全性并不是隐私问题,隐私在更大程度上是某些用户面对的问题:这些用户很关心 cookie 中的信息是如何被使用的。而 cookie 的安全性问题与从客户机获取数据...

  在使用 cookie 时,必须意识到其固有的安全弱点。这里所说的安全性并不是隐私问题,隐私在更大程度上是某些用户面对的问题:这些用户很关心 cookie 中的信息是如何被使用的。而 cookie 的安全性问题与从客户机获取数据的安全性问题类似。
对于初学者,就应用程序而言,cookie 是用户输入的另一种形式,因而很容易被他人非法获取和利用。由于 cookie 保存在用户自己的计算机上,所以用户至少可以看到您保存在 cookie中的信息。如果用户愿意,还能在浏览器向您发送cookie之前修改cookie。

  所以,不要在 cookie 中保存保密信息 - 用户名、密码、信用卡号等等。不要保存不应该由用户掌握的内容,也不要保存可能被其他窃取 cookie 的人控制的内容。

  同样,要对从 cookie 中得到的任何信息都持怀疑态度。不要认为得到的数据就是您当初设想的信息。处理 cookie 值时采用的安全措施应该与处理 Web 页面中用户键入的数据时采用的安全措施相同。例如,在页面中显示值之前,我会对 cookie 中的内容进行 HTML 编码。这是一种标准的方法,可以在显示之前净化从用户处得到的信息,对 cookie 的处理与此相同。

  另一个需要关心的问题是,cookie 是以纯文本的形式在浏览器和服务器之间传送的,任何可以截取 Web 通信的人都可以读取 cookie。您可以对 cookie 的属性进行设置,使其只能在使用安全套接字层(SSL,又称 https://)的连接上传输。SSL 并不能防止保存在用户计算机上的 Cookie 被他人读取或操作,但它能防止 cookie 在传输途中被他人截取。本文不讨论 SSL,但您必须清楚,您可以对 cookie 进行传输保护。

  面对这些安全问题,如何才能安全地使用 cookie?您可以在 cookie 中保存一些不重要的数据,如用户首选项或其他对应用程序没有重大影响的信息。如果确实需要把某些敏感信息(如用户 ID)保存在 cookie 中,就对这些信息进行加密。一种可行的方法是利用 ASP.NET Forms Authentication 实用程序创建一个身份验证票据,作为 cookie 保存。本文不讨论有关加密的问题,但是,如果您需要在 cookie 中保存敏感信息,就应该试着采取措施来隐藏信息,防止被他人盗用。


    
 
 
 
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • ASP.NET之 Ajax相关知识介绍及组件图
  • 我想了解一些关于Java怎样与Asp或Asp.net结合方面在未来发展方向的问题?
  • asp.net UrlEncode对应asp urlencode的处理方法
  • asp.net判断数据库表是否存在 asp.net修改表名的方法
  • asp.net文字水印功能简单代码
  • jQuery Web Controls ASP.Net
  • ASP.NET 门户平台 Dropthings
  • win2008 r2 服务器环境配置(FTP/ASP/ASP.Net/PHP)
  • Asp.Net如何将多个RadioButton指定在一个组中
  • 用C#,asp.net 做的网站,能用Linux做服务器吗?
  • asp.net实例 定义和使用asp:AccessDataSource
  • 有没有办法把客户端IP和计算机名记录在asp.net服务器上?
  • asp.net获取用户ip地址公共类
  • asp.net 禁用viewstate(web.config中配置)的方法
  • asp.net读取本地与全局资料文件的代码
  • asp.net button 绑定多个参数
  • Asp.net日历控件显示年和月
  • 重新注册asp.net 2.0的方法
  • 用linux做服务器运行ASP.net网站,请问具体怎样实现??
  • Linux操作系统能运行Asp.net的项目吗?
  • c#(asp.net)接收存储过程返回值的方法
  • asp与asp.net的session共享
  • 如何在unix下发布asp?
  • 怎么让Apache支持Asp?
  • ??谁能把ASP代码改为JSP的
  • Linux平台下哪种方法实现ASP好?
  • ASP和ASP.Net共享Session解决办法
  • 通过socket和asp打交道
  • 犹豫中……,到底是选择ASP,还是JSP?
  • asp 是否 可用applet标签?帮忙!!
  • 新人提问:asp+access的程序在linux下怎么改?


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3