Question

Одна из наших баз данных отслеживает дату просмотра определенной страницы, а также идентификатор пользователя и идентификатор сеанса.Мы заметили, что один пользователь имел один и тот же идентификатор сеанса в течение нескольких месяцев, даже после новых входов в систему.Это что-то нормальное или ожидаемое для ASP.NET, или это ошибка / уязвимость, которую следует устранить?Этот же идентификатор сеанса сохранялся с 10 октября 2018 года по 24 января 2019 года.

Идентификатор сеанса извлекается с помощью HttpContext.Session.SessionID после действия в контроллере, на который выполняется действие.

Hooman Bahreini · Answer 1 · 12 февраля 2019

Из Обзор состояния сеанса ASP.NET , поведение по умолчанию:

По умолчанию значение SessionID хранится в файле cookie сеанса с неограниченным сроком действия в браузере.Однако вы можете указать, что идентификаторы сеанса не должны храниться в cookie, установив для атрибута cookieless значение true в разделе sessionState файла Web.config.

Я считаю, что то же самое верно для ASP.NET MVC (поскольку я не могу найти какую-либо конкретную документацию MVC по сессии).Так что я бы сказал, это нормально ...

Один и тот же SessionID, используемый в течение нескольких месяцев для пользователя в ASP.NET MVC

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Один и тот же SessionID, используемый в течение нескольких месяцев для пользователя в ASP.NET MVC

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов