为了防止会话固定攻击,我希望在用户验证后生成新的会话ID。到目前为止,我没有找到使用Microsoft.AspNetCore.Session v2.2.0实现此功能的方法。据我所知,非Core版本也不支持此功能。
是否有我错过的API或方法?
还可以提供具有这些功能的其他中间件的指针。
是否有我错过的API或方法?
还可以提供具有这些功能的其他中间件的指针。
Session Fixation攻击不适用于ASP.NET Core处理会话的方式。发送的cookie不含有会话ID,仅有一个会话密钥。该密钥是持久性的,并旨在始终有效。服务器独立决定是否恢复现有会话或创建新会话(即会话ID)。