没有生成forms authentication cookie

最新推荐文章于 2021-02-10 21:36:01 发布
最新推荐文章于 2021-02-10 21:36:01 发布
阅读量617 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: .NET 文章标签: authentication forms domain login 服务器 path
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/password318/article/details/5324051
本文探讨了在ASP.NET应用程序中使用Form验证时遇到FormsAuthenticationCookie未生成的原因及解决方案,重点在于Web.Config配置文件中关于Cookie存放域的错误设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

症状描述:

使用Form验证,在Page1.aspx中摆放了Login控件,在Page2.aspx中摆放了LogInView,LogInName控件,已确认MembershipProvider可以正常工作,Login控件的验证也正确,但是跳转到Page2.aspx后,FormsAuthenticationCookie没有生成,也就是LogInView和LoginName没有任何值,查看HttpContext.User可是空值。

分析:

原因出在Web.Config中,在设置form信息时,多添加了一个domain属性,domian="www.nbcc.cn",这样的话讲Cookie放于www.nbcc.cn服务器上,而不是我的测试服务器(local),当然就无法获得相应数据了

解决方法:

去除该属性设置即可

<authentication>
       <forms name=".ASPXAUTH"
              loginUrl="Login.aspx"
              requireSSL="false"
              slidingExpiration="true"
              timeout="20"
              protection="All"
              cookieless="UseDeviceProfile"
              defaultUrl="Default.aspx"
              path="/"
              enableCrossAppRedirects="false"

              domain="www.nbcc.cn"
             />
</authentication>

分享一个 ASP.NET WebForm 使用 Form Authentication 的例子
yangshuquan的专栏
06-04 1444
Form Authentication 是一种经典而又灵活的身份验证的方式,配合近些年比较流行的 LDAP/AD 域账户,账户的安全由 LDAP/AD 域分配和控制,Form Authentication 的灵活性和方便性就体现出来了
Forms 身份验证下“诡异”的Cookie 丢失问题
weixin_30915951的博客
12-03 153
背景:一年多以前本人做了一个管理系统,采用 Forms 身份验证的方式,当时系统不大,我采用了一个可序列化的对象记录了用户的用户名、ID ,用户节点ID 等信息将其序列化为一个字符串后存入到 cookie 中,这样做运行的一直良好。随着时间的推移,各个应用后台都逐步加入到了这个系统中也相安无事。前段时间我又在这个系统里加入了一个应用并将一个节点分配给我自己后做完测试就没再去理会了。前段时...
FormsAuthentication 登录兼容 IE11 保存cookie
aoluanmao2090的博客
08-15 106
现象:使用FormsAuthentication进行登录验证,在IE11客户端无法保存cookie 解决方法:在web.config中的forms中增加cookieless="UseCookies"属性。 原文地址:http://www.wlm.so/Article/Detail/lmb48dogzil3b00000 <authentication mode="Forms...
自定义的token为什么没有写入cookie中?
牵佳一诺的博客
07-31 2845
在使用nginx时,登录系统(sso系统,sso.a.com)和前台系统(www.a.com),当登录系统写入cookie后,跳转到前台系统时,正常情况下是不可能把cookie写入前台系统的。那怎么办? 1、在nginx中的sso.a.com的server中追加proxy_set_header Host $host;重启。因为nginx会让tomcat压根不知道请求的真实域名是啥。这样写tomc
asp.net Forms Authentication
qq_37112587的博客
02-10 305
一、Forms Authentication 概述 相比于windows authenticationforms authentication不需要windows账号,可以面向internet应用程序 通过表单提交的用户名和密码进行登录验证 密码在网络中传播,不安全 基于会话的cookies IIS提供默认实现,即FormsAuthenticationModule 认证过程 客户端向服务端发起请求 服务端返回302以及重定向地址 客户端重定向到登录页面 用户输入账号、密码后提交到服
FormsAuthentication使用指南
我的专栏
11-20 2万+
配置安全鉴别 鉴别是指鉴定来访用户是否合法的过程。ASP.NET Framework支持三种鉴别类型: Windows鉴别; NET Passport鉴别; Forms鉴别。 对于某一特定的应用程序,同一时刻只能启用其中一种鉴别方式。例如,不能在同一时刻同时启用Windows鉴别和Forms鉴别。 在默认情况下,系统将启用Windows鉴别。当Windows鉴别启用后,用户通过微软Wi
ASP.NET Forms Authentication生成Cookie的安全性
json的博客
05-28 1291
asp.net forms authentication生成cookie的安全性 我做这个实验是因为http://community.youkuaiyun.com/expert/topic/3927/3927012.xml?temp=.3752405  最初我想,.net的验证应该是比较安全的吧,生成cookie也应该与这台电脑的独特的参数相关,拿到另一台电脑上就应该无效了。那么是不是一个用户名对应一
带有自定义ASP.NET FormsAuthentication的奇怪超时
cunfuxiao7305的博客
09-26 236
Ah, life. For me, in what I tend to do day to day, it always seems to come down to debugging weird stuff. So, here's something weird that happened today (actually it's been happening over the last wee...
FormsAuthentication实现单点登录
aoluanmao2090的博客
08-13 233
原文地址:http://www.wlm.so/Article/Detail/lmb48bk9f690n00000 单点登录,这种在网络非常常见,在这里讨论的是实现同一主域下的子站间的单点登录,同样也适用于使用负载均衡后站点的登录识别。 .net,讨论基于MVC环境下的,假设域名为 wlm.so。 基础条件: 1.cookie共享 2.FormsAuthentication...
form身份验证通过后,只能用FormsAuthentication.RedirectFromLoginPage
10-30
HttpCookie userCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket); userCookie.Domain = ".jb51.net"; // 设置Cookie的域 ``` 4. **输出Cookie到客户端**:最后,将包含身份验证...
Forms身份认证在IE11下无法保存Cookie的问题
10-25
HttpCookie userCookie = new HttpCookie(FormsAuthentication.FormsCookieName, hashTicket); HttpContext.Current.Response.Cookies.Add(userCookie); ``` 在上述代码中,`FormsAuthenticationTicket`的构造函数...
详解ASP.NET与ASP.NET Core用户验证Cookie并存解决方案
10-20
而为了生成*** FormsAuthenticationCookie,文章推荐创建一个*** WebAPI站点,利用已有的FormsAuthentication机制来生成Cookie,并通过WebAPI客户端来获取这个Cookie。然后,在*** Core登录成功的处理逻辑中,将这...
前台请求不带cookie的问题解决方案大汇总
热门推荐
u013282737的博客
09-19 5万+
今天碰到一个很棘手的问题,前端请求后端不带cookie, 请求时header里面就是没有cookie,可能还少了点其他东西 很头疼,尝试了很多办法,还是不行,比如下面几种: 1:我是用的axios请求的,很多人只加下面这一行代码就搞定了,但是,我没有 // 允许携带cookie axios.defaults.withCredentials=true 2:然后,有人加withCred...
未能建立数据库连接
hellozheng的专栏
02-23 1584
这些问题都是由于没有创建asp.net成员资格数据库所引起的,请按照下面的步骤来操作,就可以解决以上所有的问题。1、打开VS的命令提示,输入aspnet_regsql,用默认的数据库(aspnetdb)。 2、打开VS,依次:工具-->选项-->数据库工具-->数据连接-->SQL Server实例名称(默认为空),改为你的服务器名称。 3、还是VS,工具-->
CSRF并没有盗取cookie而是直接利用
最新发布
03-20
### CSRF 攻击机制分析 #### 工作原理概述 CSRF(Cross-Site Request Forgery)是一种利用用户身份发起未授权请求的攻击形式。其核心在于,攻击者无需直接获取用户的敏感信息(如 Cookie),而是借助目标用户已经登录某站点的身份状态来实现恶意操作[^1]。 #### 攻击过程解析 为了成功实施 CSRF 攻击,通常需要满足以下几个前提条件: 1. **用户登录状态**:受害者需先登录受信任的目标网站 A 并保持有效的会话状态(通常是通过浏览器中的 Cookie 实现)。 2. **访问外部链接**:在不退出目标网站 A 的情况下,受害者被诱导访问另一个由攻击者控制的危险网站 B[^3]。 一旦上述条件达成,攻击者可以通过以下两种主要方式进行攻击: ##### 1. GET 类型 CSRF GET 请求常用于检索资源,在此场景下,攻击者可能构造一个嵌入图片标签或其他隐式触发 HTTP 请求的方式,使得受害者的浏览器自动向目标服务器发送带有合法认证信息(如 Cookie)的请求。例如: ```html <img src="https://bank.example.com/transfer?to=attacker&amount=1000" /> ``` 当受害者加载该 HTML 页面时,浏览器会尝试下载指定 URL 下的内容,并附带存储在其上的任何相关 Cookies,从而无意间完成了资金转移操作。 ##### 2. POST 类型 CSRF 对于涉及更复杂交互逻辑的功能模块,则往往采用 POST 方法提交数据。此时,攻击者可通过创建隐藏表单并模拟点击事件等方式诱使用户完成特定动作。如下所示是一个简单的例子: ```html <form action="https://bank.example.com/transfer" method="POST"> <input type="hidden" name="to" value="attacker"/> <input type="hidden" name="amount" value="1000"/> </form> <script>document.forms[0].submit();</script> ``` 无论哪种类型的 CSRF 攻击发生,关键点都在于这些请求均携带了来自真实用户的验证凭证——即之前提到过的 Session ID 或 Authentication Token 等信息,而这一切都是基于标准 Web 浏览器行为自动生成的结果,并不需要额外窃取什么秘密资料。 #### 防护措施简介 尽管存在多种防御手段可用以对抗此类威胁,但最常见且有效的方法之一便是引入 Anti-CSRF Tokens 。具体做法是在每次生成动态网页时随机生成一段独一无二字符串作为令牌附加至页面之中;随后要求客户端随同每一个后续重要请求一并将此令牌回传给服务端加以校验匹配正确与否才能继续处理业务流程[^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值