jQuery의 $.ajax()
을 사용하여 자바 스크립트에서 호출하는 웹 서비스 (ASP.NET 2.0)가 있습니다. 나는 세션 키가 보안 목적으로 이런 상황에서 종종 nonce로 사용된다고 들었다. 웹 서비스는 키를 매개 변수 중 하나로 사용하고 현재 세션 키와 일치하는 경우에만 데이터를 반환합니다.웹 서비스 보안을위한 ASP.NET 세션 키?
나는 모든 Page_Load
(즉, 모든 포스트 백)에서 숨겨진 필드의 값을 현재 SessionID로 설정 한 다음 자바 스크립트에서 매개 변수로 전달하여이 작업을 시도하고 있습니다. 하지만 웹 서비스의 현재 키 (Context.Session.SessionID
)와 같은 키는 아닙니다.
해결할 수 있습니까, 아니면 다른 방식으로해야합니까?
EDIT : 요청시 숨겨진 필드에 세션을 설정하는 코드입니다. (즉 if (!Page.IsPostBack)
로 포장하지. 당신이 세션 상태를 사용할 때까지
현재 세션 ID에 숨겨진 필드의 값을 설정 "에 대한 코드를 게시 할 수 없습니다 : 여기
은 이런 종류의 공격을 방지에 대한 자세한 정보와 또 다른 질문에 대한 링크입니다 모든 Page_Load (즉, 모든 포스트 백)에 " – shashi@sassyboy - 완료. –