避免 ASP.NET 中的会话劫持

Question

我最近在此处阅读了一篇关于使 ASP.NET 会话更安全的文章，并且乍一看它确实很有用。

以前，我一直将用户的 IP 地址存储在会话中，然后确保在每个后续请求中请求的 IP 与存储的 IP 相同。

本文中的代码还通过检查 IP 地址来保护会话，但它存储包含用户 IP 的哈希消息身份验证代码作为会话 cookie 的一部分。它为每个请求创建两次哈希 MAC，我想这会减慢速度。

我已经可以在他们的代码中看到一个潜在的缺陷：如果你以某种方式获得用于生成 MAC 的密钥，那么你就可以使用你自己的 IP 生成一个有效的 MAC - 你甚至不必伪造 IP会议于 开始。

这似乎是对一个简单问题的过于复杂的解决方案，它不仅会产生更大的开销，而且比简单的方法更容易受到攻击 - 除非我完全没有抓住重点。

那么，为什么这种方法比我一直使用的更简单的方法更安全呢？

顺便说一句，作者还指出，您不应该在比较中使用整个 IP 地址，因为某些用户的 IP 如果位于代理后面，就会更改每个请求。如果您检查X_FORWARDED_FOR，情况仍然如此吗？

谢谢！

Answer 1

请参阅这篇文章：防止会话劫持的最佳方法是什么？ 。

基本上，您应该在登录页面和任何其他“敏感区域”上使用 HTTPS