0
我的计算机上有多个ASP MVC项目,并且每个人都使用身份框架以及具有[Authorize]属性的各种控制器。本地主机开发和部署的MVC身份Cookie安全最佳实践
我发现如果我用一个项目登录,然后在localhost上调试另一个项目,我可以绕过其他项目的安全性。
我知道这是因为localhost只有一个cookie,但是,是否有任何简单的方法可以解决这个问题以进行调试?在部署到公共互联网时是否存在安全隐患?
A
回答
1
由于@TiesonT表示您需要重命名每个应用程序的身份验证Cookie。你可以做到这一点在Startup.Auth.cs:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
// other properties
CookieName = "MyCookieName",
});
或者你可以设置你的开发计算机上的应用程序在IIS和给他们通过hosts文件,每个自己的域名。即MyApplication.dev,MyOtherApplication.dev
相关问题
- 1. ASP.NET安全身份验证和授权的最佳实践
- 2. Laravel身份验证安全性的最佳实践是什么?
- 3. Django和VIRTUALENV开发/部署的最佳实践
- 4. 开发和部署ASP.NET应用程序的最佳实践?
- 5. C#身份验证安全性最佳实践
- 6. Salesforce部署最佳实践?
- 7. 最佳实践安全地从URL
- 8. JSON安全最佳实践?
- 9. Capistrano安全最佳实践
- 10. ASP.NET安全最佳实践
- 11. 最佳实践Apps安全
- 12. CKEditor安全最佳实践
- 13. Spring MVC开发流程 - 最佳实践
- 14. 最佳实践来部署和gitignore
- 15. 多机器和版本控制开发的最佳实践
- 16. ASP.NET MVC本地化最佳实践?
- 17. php身份验证最佳实践...?
- 18. 用户身份验证最佳实践
- 19. Web API身份验证最佳实践
- 20. JMS开发最佳实践
- 21. Django开发最佳实践
- 22. Android开发最佳实践
- 23. 什么是Sharepoint(MOSS 2007)开发/部署最佳实践
- 24. JSP和MVC最佳实践
- 25. SharePoint 2007的WSP部署最佳实践
- 26. 部署网站的最佳实践
- 27. 部署Windows服务的最佳实践
- 28. 自动部署的最佳实践
- 29. Web部署的最佳实践
- 30. 本地化最佳实践
配置身份验证时,确保每个项目指定不同的CookieName值。 –
@ TiesonT.-我的cookies没有问题,我的默认身份验证cookie有问题,我无法重命名。此外,正如我所说,如果我可以登录到不同的应用程序与该项目中不存在的用户,我很想知道部署到互联网的最佳做法... – Wil
为什么你不能改变身份验证cookie的名称?这始终是FormsAuthentication的一部分,OWIN也不例外。如果您所做的只是应用AuthorizeAttribute(不包含角色或声明),它只会检查auth cookie是否存在,而不是它源自当前应用程序 –