我使用viewstate获得常规ASP的状态,但是MVC并没有试图使有状态的大胆谎言永久化。那么如何才能维持会话?
答案 0 :(得分:7)
默认情况下,它会将随机生成的数字存储在cookie中并将其存储在内存中。如果浏览器说它不支持cookie,那么asp.net会在网址中添加会话密钥,它会显示为http://myurl.com/(S(rpfa4y3c5oe2c555ljanprek))/Controller/Action
答案 1 :(得分:1)
使用Session ID标识存储在Cookie中的用户。如果您知道受害者的ID,并且其他安全测量不会干扰(例如基于IP的身份验证),则可以进行欺骗。