Zu beschränken, das kopieren und einfügen der URL zum öffnen der Seite
Stoppen Sitzung teilen die ich verwendet code
<sessionState mode=”InProc” cookieless=”UseUri”></sessionState>
Dies ist in Ordnung, obwohl ich immer peinlich URL, aber es ist OK .
Das problem, das ich bin vor ist :Wenn der Nutzer bereits anmelden, um die Anwendung und, wenn der Benutzer direkt kopieren und einfügen der URL im web-browser, um die Seite zu öffnen, dann Benutzer kann die Seite öffnen, weil Benutzer hat bereits eine aktive Sitzung.
aber Voraussetzung ist, um zu beschränken, das kopieren und einfügen von URL um die Seite zu öffnen.
In solchen Fällen, was wir zu tun haben?
ich nicht haben .cs-Seite wie diese ist eine alte Anwendung, die wir haben.aspx-Seite mit javascript/VB-script.
Noch eine Frage ich habe mit <sessionState mode="InProc" cookieless="UseUri">
wenn die Anmeldung an der Applikation und, wenn der Benutzer direkt kopieren Sie die url und fügen Sie die URL im web-browser zu öffnen Sie die Seite nach dem schließen der ersten (wo wir kopierte url) immer noch user in der Lage, öffnen Sie die Seite ohne login.
Beispiel :http://XXX/YYY/(S(fxiejp3mncnt3wwob3ytkmbf))/Home/FrameSet.aspx
wenn ich das einfügen über URL nach dem schließen meine geöffneten Fenster (wo ich kopiert diese uRL ein) USER ist in der Lage, öffnen Sie die Anwendung neu. die scheint wie bug .
BITTE SCHLAGE
Bitte schlage
- Warum haben Sie Sorge, wenn der Benutzer öffnen kann eine Seite durch einfügen der url in der Adressleiste, sobald Sie einmal eingeloggt sind?
- Schreiben Sie einen benutzerdefinierten browser und implementieren einer sicheren Weise zu authentifizieren, der browser ist die client-Anwendung.
- Haben Sie irgendeine Art von sicheren session-ID gespeichert, die in der url und session. Beim laden der Seite überprüft er, ob die beiden identisch sind, und wenn ja, kann der Benutzer in. Es würde dann neu zuweisen, eine neue var und hängen Sie es auf alle urls.
- Sie nicht. Sicher, Sie können einige fancy JavaScript zu deaktivieren, kopieren und einfügen, aber das ist Recht einfach zu bezwingen, indem Sie einfach die Deaktivierung von JavaScript. Warum nicht verwenden Sie stattdessen cookies?
- Session sharing? Du meinst zwei Leute anmelden mit dem gleichen account?
- dies ist unserer client-Anforderung, die Benutzer kann nicht öffnen Sie eine Seite durch einfügen der url in der Adressleiste mit der gleichen Anmelde-ID
- Sie können nicht verhindern, dass der Benutzer auf eine Seite zugreifen, die durch einfügen der URL in der Adressleiste. Sie sind weit besser dran, die Beseitigung der login-id aus der URL (wenn das ist, wie es momentan funktioniert). Wenn Sie URL-basierte auth, nicht. Sie können nicht erwarten, dass eine website, zu nehmen volle Kontrolle über einen browser, der lokal auf Ihren Rechner...
- Wenn dies der client-Anforderung, entweder Sie sind komplett Missverständnis, was eine web-Anwendung oder haben eine andere Anforderung, und Sie sind Ausdruck schlecht.
- Ich habe Frage, die ich Hinzugefügt in der Frage, schlagen Sie bitte ein Lösung dafür
- Ich habe Frage, die ich Hinzugefügt in der Frage(in Fett) schlagen Sie bitte ein Lösung dafür
Du musst angemeldet sein, um einen Kommentar abzugeben.
können Sie code wie diesen zu deaktivieren, Kopieren und Einfügen in Ihren Html-markup..?
Wenn Sie sicherstellen möchten, dass ein Benutzer nicht direkt auf eine Seite, die Sie betrachten könnte den referer [sic] in den http-header und stellen Sie sicher, dass Sie gesetzt ist und der Benutzer navigiert durch Ihre Website zu erhalten, auf die Seite. Wenn der referer gesetzt ist google, oder nicht gesetzt, dann wird der Benutzer ging direkt auf die URL.
Vom Standpunkt der Sicherheit, sollten Sie sich auf eine id in einem cookie zum speichern der session-Daten, und das cookie darf nicht enthalten Sie alle privaten oder vertraulichen Informationen. Wenn die session id im cookie nicht mit dem übereinstimmt, was der server hat für die Sitzung, wird die Seite abgelehnt werden sollte. (siehe http://www.truste.com/blog/2011/12/02/best-practices-for-using-cookies/ für einige gute Tipps, Sitzungen)
Warum nicht zuordnen einer IP-Adresse mit den login-Sitzung, so dass andere Benutzer können Ausschneiden und einfügen von URLs.
(Beachten Sie, dass nicht funktioniert, wenn beide Benutzer hinter der gleichen NAT-router, und kann problematisch sein, wenn sich der Nutzer auf mobilen Endgeräten, die IP-Adressen ändern.)