ASP.NET MVC5では、セッションの識別子がデフォルトで保護されているのでしょうか? (例として、セッションIDはJavaScriptやその他のブラウザスクリプトでは回復できません)asp.netのデフォルトのセキュリティ対策MVCフレームワーク
また、サーバー側は情報の格納に関するセキュリティを提供していますか?
これらの機能は、MV5のasp.netの枠組みの中で、デフォルトで来る場合、私は思っていた、または私は自分自身のセキュリティ対策を実装する必要があり
ので、私たちはMSDN
インプロセスモード、店舗を読めばWebサーバー上のメモリ内のセッション状態。これがデフォルトです。
StateServerモード、セッション状態をASP.NET状態サービスと呼ばれる別のプロセスに保存します。これにより、Webアプリケーションが再起動された場合にセッション状態が保持され、Webファーム内の複数のWebサーバーでセッション状態を利用できるようになります。
しかし、実際の質問は、デフォルトで暗号化されているかどうかです。
ありがとう
セッションIDがでクッキーに格納されていることを考慮すると:あなたがローカルに暗号化し、それらを.Try保護する場合の手段によって、彼らは詳細がここで説明されている以上確保したまま、サーバーに転送されます一度のでデフォルトでは、私は彼らがJSによって確実に回復可能であると言います。セッションの状態がサーバー側で暗号化されるのはなぜですか? – Amy
@Amyこんにちはamyと私の問題を検討していただきありがとうございます、あなたの質問に答えるために、私はMVC5フレームワークがWebサーバー上のセッション状態情報を暗号化するかどうかを検証するための調査を行っています(Inprocモードは、私は彼らが保護されていることを知る必要がある) – napi15