Problemas con ASPSESSIONID en COOKIE

aspsessionid es un número de ID, también puede ser temporal, se escribe en el cliente, pero en realidad hay un ID del lado del servidor para comparar, es decir, para verificación, pero tiene un ciclo de vida, después de renunciar al ID del lado del servidor, Incluso si el cliente todavía tiene la ID, ya no hay un objeto con el que comparar. Pero si dice que tiene miedo de que le roben la ID de sesión del cliente durante el ciclo de vida del cliente, puede verificarlo de forma remota. ! Pero si esto sucede, no puede generar artificialmente otro conjunto de ID de sesión, porque la ID del cliente se roba en tiempo de ejecución. Si el cliente es débil, nadie puede detenerlo. Una buena manera es agregar un usuario que solo pueda responder. al ID de sesión. Un usuario realiza una verificación en línea. Si un usuario ya ha iniciado sesión, no podrá volver a iniciar sesión con el mismo nombre de usuario.

--------------------------------

Generar un nuevo ID de sesión y luego, el servidor generará una nueva, y luego su cliente también generará un nuevo id de evaluación, que corresponde a un candado con dos llaves, una del lado del servidor y otra del lado del cliente, incluso cuando esté por verificar. Si genera una nueva sesión, también necesita escribir un nuevo ID de evaluación al cliente para compararlo, por lo que no tiene sentido si es nueva o no. Así es como funciona la sesión. Si deshabilita las cookies, no está permitido. enviar Cuando el cliente escribe algo, ¡la sesión deja de ser válida! Es por eso que el cliente debe permitir que se escriban cookies en la sesión para que la sesión sea válida. Esto se debe a que si el cliente no permite que se escriban cookies en la sesión, la clave del lado del servidor no tendrá nada con qué compararla. ¡No sé si lo he dejado lo suficientemente claro! ! ! !

----------------------

Lo que dije es que solo un usuario El inicio de sesión está permitido significa que el cliente inicia sesión en un sitio web. Tiene una ID de sesión legítima, pero hay un troyano en su máquina que roba la ID generada recientemente por su cliente. Tiene que iniciar sesión, pero en este momento el sitio web. tiene Un usuario solo puede iniciar sesión, por lo que incluso si tiene una identificación legal, no puede iniciar sesión y solo puede esperar a que el cliente abandone la sesión legal. Desuso En otras palabras, ¡las sesiones robadas son inútiles!

----------------------

En realidad, no es necesario Di eso Claramente, siempre que sepas cómo funciona, está bien. No sé de qué prueba de Fidder estás hablando, pero debe haber algún problema con tu método de prueba. ¿Crees tanto en Fidder? Solo creo en su propio programa de prueba. Déjame darte una pista. Utiliza js para probar las cookies del cliente. ¡En tu propia práctica, también se usa!