Почему ASP.NET принимает внешне созданные идентификаторы сессии?
я подозреваю Вас, не найдет, что формальное определение забастовка> , По-видимому, JГ¶rg W Mittag нашло одну :)
, Учитывая, что формальное определение, остальная часть моего ответа является просто моим пониманием его в то время. Подразумевают ли все, кто использует термин "первоклассная конструкция", точно, что то же самое является другим разговором, конечно.
способ определить, является ли что-то конструкцией "первого класса" или не должно спросить себя что-то вроде этого:
поддерживавшая функция и полностью интегрированная с остальной частью языка, или там много ненужных ограничений, которые производят впечатление, которым это было просто "соединено болтом на" возможно для занятия всего одно конкретный вариант использования без соображения для других областей, где конструкция могла быть действительно полезной, если это была более полно "часть языка"?
, Как Вы видите, это - определенная серая область:)
Делегаты в C# являются хорошим примером на самом деле. В C# 1 Вы могли делегаты передачи в методы, и было много путей, которыми они были хорошо интегрированы на язык (вещи как преобразования, являющиеся доступной, обработкой событий, + = и - = переводящий в Делегата. Комбинируйте/Удаляйте). Я сказал бы, что они были конструкции первого класса. Однако это не противоречит тому, что делегаты получили чрезвычайно от C# 2 и 3, с анонимными методами, неявными преобразованиями группы метода, лямбда-выражениями и ковариантностью. Они возможно [еще 1113] из конструкции первого класса теперь... и даже при том, что я сказал бы, что они были "первым классом" в C# 1, который я видел, почему кто-то мог бы не согласиться.
А подобный случай мог бы быть сделан для IEnumerable. В C# 1.0 это поддерживалось foreach, но foreach цикл не избавится IEnumerator в конце. Эта часть была зафиксирована в C# 1.2, но была все еще только поддержка языка [1 114] потребление IEnumerable с, не создавая их. C# 2.0 обеспечил блоки итератора, которые делают его тривиальным для реализации IEnumerable (и его универсальный эквивалент). Это означает, что понятие повторяемой последовательности не было конструкцией "первого класса" в C# 1.0? Спорный, в основном...
3 ответа
Это не уязвимость (и мне действительно не нравится AppScan из-за его ложных срабатываний - сколько раз мне приходилось объяснять CSRF файлы cookie не обязательно должны быть связаны с сеансом в моем небольшом проекте с открытым исходным кодом, что меня раздражает).
Все, что произойдет в этом случае, - это первый раз, когда что-либо будет сохранено в состоянии сеанса с созданным идентификатором сеанса, будет открыт новый сеанс на сервере, ни с чем. Если ты'
Возможно, вам потребуется изменить настройки файлов cookie по умолчанию, чтобы они были уникальными для вашего приложения
Попробуйте установить уникальный путь для файлов cookie:
<forms name="YourAppName"
path="/FormsAuth" ... />
http://msdn.microsoft.com/en-us/library/ms998310.aspx#paght000012_additionalconsiderations
Подробнее ... http://msdn.microsoft.com/en-us/library/ms998258.aspx
Казалось бы, свойство RegenerateExpiredSessionId управляет этим. Установите значение true. Также сохраняйте тайм-аут на низком уровне, максимально ограниченном, приемлемом для пользователей (например, 10-15 минут).