跨两个命名域共享会话 cookie

Question

我有一个具有以下域的 .net Web 应用程序： www.domain.com 子域名.com files.domain.com

当用户登录到domain.com 或sub.domain.com 时，我希望他们共享会话状态（即同时登录到两个域）。这可以通过将会话 cookie 上的域设置为“.domain.com”来实现。 但是，我的问题是，由于安全问题，域“files.domain.com”不应该具有会话状态（来自该域上托管的用户创建文件的 xss 攻击是一个问题）。

在 ASP.NET 中，是否可以对这两个域使用相同的 asp.net 会话 ID，但不能对第三个域使用相同的 ASP.NET 会话 ID？

提前致谢！

Answer 1

以下是我想到的几个选项：

#1 - 通过客户端脚本将登录请求发布到两个应用程序。这将使您能够同时为两个有效域设置 cookie。这使您能够通过为您希望对用户进行身份验证的特定域创建 cookie 来避免您担心的 XSS 问题。

#2 - 将您的“不安全”站点移至其他域。例如：www.domain-files.com。通过该选项，您可以使用共享 cookie 来管理身份验证。

Answer 2

不要混淆会话 cookie 和表单身份验证 cookie。 ASP.NET Session 不能在应用程序之间共享。就表单身份验证 cookie 而言，它只是一个简单的 cookie，cookie 的工作方式是通过设置 domain 属性。

我能想到的实现此目的的一种方法是在中定义特殊的 machineKeys两个应用程序的 web.config。这样，在 www.domain.com 上进行身份验证的用户将收到一个 cookie，该 cookie 将使用 www.domain.com 的机器密钥进行加密，并且因为只有 sub .domain.com 具有相同的密钥将能够解密 cookie。 Cookie 仍会发送到 files.domain.com，但无法解密，用户也不会在那里进行身份验证。

Answer 3

在我看来，问题是为什么人们可以上传可能包含 XSS 攻击的文件？如果他们能做到这一点，他们可能会找到引起其他问题的方法。

最有可能的候选者是在您的登录页面上有一个 javascript 函数，该函数将凭据发送到其他服务器。因此，当有人登录到一个域时，javascript 函数会同时将他们登录到另一个域。

我同意 joe.liedtke 的观点，他说将 files.domain.com 移至另一个域并完全避免该问题。

Answer 4

试试这个：
共享 asp.net 身份验证不同子域上的不同应用程序

如下所述，只有具有匹配机器密钥的应用程序才能相互进行身份验证。因此，假设为 files.domain.com 提供了不同的机器密钥，它将无法解密会话 cookie，并且无权访问其他域

Answer 5

也许，使用 Response.Cookies 直接在 cookie 中存储 Guid 值，然后根据该值查询数据库以获取共享身份验证信息，可以完成您的任务。