我有一个具有以下域的 .net Web 应用程序:
www.domain.com
子域名.com
文件.domain.com
当用户登录到domain.com或sub.domain.com时,我希望他们共享会话状态(即同时登录到两个域)。这可以通过将会话 cookie 上的域设置为“.domain.com”来实现。
但是,我的问题是域“files.domain.com”应该not由于安全问题而具有会话状态(来自该域上托管的用户制作文件的 xss 攻击是一个问题)。
在 ASP.NET 中是否可以对这两个域使用相同的 asp.net 会话 ID,但不能对第三个域使用相同的 ASP.NET 会话 ID?
提前致谢!
以下是我想到的几个选项:
#1 - 通过客户端脚本将您的登录请求发布到两个应用程序。这将使您能够同时为两个有效域设置 cookie。这使您能够通过为您希望对用户进行身份验证的特定域创建 cookie 来避免您担心的 XSS 问题。
#2 - 将您的“不安全”站点移至其他域。例如:www.domain-files.com。通过该选项,您可以使用共享 cookie 来管理身份验证。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)