ASP.NET_SessionId 可以伪造？然后获取原有相关Session的值吗？？

[已关闭问题] 解决于 2014-05-27 16:16

弄了个测试网站，网session里写了值，然后把asp.net 写在客户端浏览器里的ASP.NET_SessionId 整个拿出来（就是伪造整个请求头）然后模拟浏览器访问请求服务器，这样还去得到一开始在session里的值吗？？？我测试了下服务器那边好像新生成了各sessionId

asp.net

koi | 初学一级 | 园豆：4
提问于：2014-05-26 13:26

< >

其他回答(2)

可以的,只要运行时是依靠sessionID,来识别一个会话的,这就是一般说的会话劫持了

吴瑞祥 | 园豆：29449 (高人七级) | 2014-05-26 13:45

HTTP是无状态的协议，在这种情况下，服务器怎么识别客户端呢？只能靠提交的识别码来确认了。

Shapley | 园豆：255 (菜鸟二级) | 2014-05-26 15:09

可以的

红萝卜 | 园豆：240 (菜鸟二级) | 2014-05-26 16:54

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。