Wo ist .ASPXAUTH cookie

In javascript alert(document.cookie); nicht zeigen .ASPXAUTH Cookie-obwohl ein sniffer ist es zu zeigen,

Ich brauche es, weil ich eine AJAX Anfrage an den server, der die Anfrage sollte nicht stattfinden, wenn der Benutzer bereits angemeldet ist,

wenn ich Sie nicht überprüfen .ASPXAUTH für die Sicherheit Grund, was ich tun sollte, um zu überprüfen, ob der Benutzer bereits angemeldet ist.

Dank

InformationsquelleAutor Costa | 2010-05-19
  1. 9

    Das authentifizierungscookie ist gekennzeichnet mit http-only, das heißt, es kann nicht zugegriffen werden, per javascript. Wenn Sie überprüfen möchten, ist der Benutzer authentifiziert ist, einfach die Ausgabe einer javascript-variable, ein hidden-Feld oder was auch immer Sie bevorzugen aus dem code-behind. Dann können Sie das einfach überprüfen, in JS.

    • Das ist besser als die Einstellung httpOnlyCookies zu false aus Gründen der Sicherheit.
    InformationsquelleAutor Julien Lebosquain
  2. 4

    Es ist ein .ASPXAUTH-cookie gesetzt, Sie sind offenbar korrekt. Es wird verwendet, um zu bestimmen, ob ein Benutzer, wenn angemeldet.

    Bekommen, was Sie brauchen schauen Sie über Ihren web.config mit dem config-Abschnitt:

    <authentication mode="Forms">
      <forms
                loginUrl="~/login.aspx"
                protection="All"
                timeout="30"
                name="ExampleSite.FormsAuthentication"
                path="/"
                requireSSL="false"
                slidingExpiration="true"
                defaultUrl="index.aspx"
                cookieless="UseDeviceProfile"
                enableCrossAppRedirects="false"
                />
    </authentication>

    Wenn der Benutzer erfolgreich authentifiziert, wird ein cookie gesetzt, basierend darauf, dass das name="ExampleSite.FormsAuthentication" - parameter. Sie erlischt nach der Abmeldung oder nach der Sitzung abläuft. Sie werden sehen, ein cookie auf Google Chrome/FFX oder was auch immer browser Sie aufgerufen ExampleSite.FormsAuthentication mit einem verschlüsselten Wert. Offensichtlich ist der name der parameter, die Sie verwenden, anders sein wird und nicht ExampleSite.FormsAuthentication, aber Sie bekommen die Idee.

    Können Sie immer überprüfen und sehen, ob das cookie vorhanden ist. Wie bereits erwähnt vorsichtig sein, die http-only (mit Bezug auf JS). Sie können auch überschreiben Sie diesen Wert in der web.config, so dass Sie zugreifen können es mit JS. 

    <httpCookies httpOnlyCookies="false" requireSSL="false" domain="" />
    InformationsquelleAutor subv3rsion
Schreibe einen Kommentar