用户代理标头的更改触发表单身份验证

Question

我有一个使用 ASP.NET MVC 3.0 构建的应用程序。它使用 asp.net 内置的表单身份验证（无需会话状态）和浏览器上的 cookie 来识别发出请求的用户。

现在，当我使用 IE9 测试应用程序时，典型的 HTML 请求会在标头中发送此用户代理，并且一切正常。

用户代理：Mozilla/5.0（兼容；MSIE 9.0；Windows NT 6.1；WOW64；Trident/5.0）

但是，我们在应用程序中有一个页面具有在浏览器中托管 Microsoft Word 的 ActiveX 容器。此 ActiveX 容器的目的是允许您对 Word 文档进行修改，单击按钮将该 Word 文档与您的更改一起发布到我们的服务器，以便保存它。

ActiveX 控件（来自 www.ocxt.com 的 Office Viewer 组件）中有一个称为 HttpPost() 的方法，它将所查看文档的内容 POST 到服务器。

当您调用 HttpPost() 时，它会正确发送所有相同的 cookie，但使用不同的用户代理字符串。

用户代理：Mozilla/4.0（兼容；MSIE 5.5；Windows NT 4.0）

使用 MSIE 5.5 字符串的 UserAgent 似乎会导致 ASP.NET 或 MVC 不将请求发送到适当的控制器，而是向登录发送重定向响应即使 cookie 对于会话来说是正确的。我用 Fiddler 做了一个测试，并尝试使用 MSIE 6.0、7.0、8.0，这些似乎工作正常，所以具体来说，5.5 会导致部分服务器堆栈重定向到登录页面。

这个页面曾经工作正常，所以我不确定最近版本的 ASP.NET/MVC 是否发生了变化，或者是因为我已经升级到 IE9.0，但基本上，我想知道是否可以告诉 ASP.NET 在确定会话是否已通过身份验证时不考虑用户代理。

谢谢。

Answer 1

IIRC ASP.NET 4.0 中发生了变化，其中表单身份验证使用用户代理来检测它是否支持 cookie，如果它不是可识别或不受支持的用户代理，则它根本不使用身份验证 cookie。您将需要更改 HTTP 请求的用户代理。

Answer 2

如何禁用网络服务器的此默认行为以检查 web.config 中用户代理上的 cookie 支持并强制所有浏览器使用 cookie...

<system.web>
    <authentication mode="Forms">
        <forms cookieless="UseCookies" />
    </authentication>
</system.web>

此默认设置令人烦恼的是新浏览器上的某些有效的 User-Agent 标头会导致cookie 被忽略。

此用户代理的表单身份验证 cookie 不会被忽略...

Mozilla/5.0（iPad；CPU OS 5_1_1，如 Mac OS X）AppleWebKit/534.46（KHTML，如 Gecko）版本/5.1 Mobile/9B206 Safari/7534.48.3

此用户代理的表单身份验证 cookie 被忽略...

Mozilla/5.0 （iPhone；CPU iPhone OS 6_0_1，如 Mac OS X；en-us）AppleWebKit/536.26（KHTML，如 Gecko）CriOS/23.0.1271.91 Mobile/10A523 Safari/8536.25

但添加 cookieless="UseCookies " 属性将告诉 ASP.NET 使用任何内容的 cookie。