현재 사용자 및 사용자의 역할을 세션 상태 (System.Web.SessionState.HttpSessionState Page.Session)에 저장하는 응용 프로그램을 개발 중입니다. 좀 excecution에 권한을 부여하기위한 뒤에 코드에서이 세션 상태를 확인한 후ASP.NET 세션 상태를 변경하는 XSS
if (Session["username"] == null)
Session.Add("username", User.Identity.Name);
if (Session["isAdministrator"] == null)
Session.Add("isAdministrator", User.IsInRole(domain + "\\Domain Admins"));
는 :
if ((bool)Session["isAdministrator"] || computer.Administrators.Contains(Session["username"].ToString()))
내 질문은 다음과 같습니다 메커니즘은 얼마나 안전하다고? 일부 자바 스크립트 또는 일부 다른 방법을 사용하여 세션 상태를 변경할 수 있습니까?
감사 :
예, 감사합니다. User.Identity.Name을 세션 상태 값이 아닌 직접 비교하는 것이 더 좋습니다. –