之所以命名ASP.NET会话Cookie名称?
https://stackoverflow.com/questions/1292449
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
没有任何理由(安全?)为什么有人要的改名的ASP.NET会话Cookie名称或者是ASP.NET的只是一个毫无意义的选项?
解决方案
如果您在同一台服务器上的同一个域下运行多个应用程序,你可能希望有单独的会话cookie名称为每一个,使它们不共享相同的会话状态或更糟的是互相覆盖。
参见用于
指定HTTP cookie来用于认证。如果多个应用程序在单个服务器上运行,并且每个应用都需要一个唯一的cookie,你必须为每个应用程序的每个Web.config文件中配置cookie的名称。
其他提示
1),它可能(略)慢下来的人谁是(随便)寻找它。
2)你可能想隐藏您正在运行ASP.NET的事实
下面的链接提供了有关为什么会话cookie应该改名的更多信息。
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
“被会话ID使用的名称不应该非常描述,也不提供关于ID的目的和意义不必要的细节。
由最常见的网络应用开发框架中使用的会话ID的名称可以很容易地采集指纹[0],例如PHPSESSID(PHP),JSESSIONID(J2EE),CFID&CFTOKEN(ColdFusion的),ASP.NET_SessionId(ASP .NET )等。因此,会话ID名称可以公开了通过web应用中使用的技术和编程语言。
建议的web开发框架的默认会话ID名称更改为一个通用的名称,如“ID”。“
我认为它主要是口味的问题。有的人/公司都希望控制其网络应用的各个方面,并可能只是使用其他名称与其它cookie名称的一致性。例如,如果你在你的应用程序中使用很短的一个字符的参数名称,你可能不喜欢会话cookie的名字,像ASPSESSID。
安全原因可能适用,但安全通过隐藏在我看来是相当弱的。
