标签: asp.net cookies forms-authentication
我试图在我的MVC应用程序(其中也包含WEBAPI项目)中阻止cookie重播攻击。 注销时,我放弃会话,设置cookie的过期时间(在web.config中为表单身份验证设置),但是当另一个用户通过拦截请求登录时,我仍然可以使用cookie的值。 此外,这仅适用于一个请求,并在用户注销后发布。