netsession的简单介绍

.net中，session的问题

这个吧除了Session被覆盖的问题还存在一个CSRF的问题。

先说一下原因，如果你本机不支持或不启用cookie时，并非不存在cookie，而是将cookie保存在了浏览器进程内——cookie中有一个重要的值叫sessionId(java中使用的是JSSessionId,Php中使用的是PHPSession），这个值即便是保存，也不会保存到cookie本地缓存中（所谓支持或启用cookie仅是本身是否可以写浏览器中的cookie保存存到本地缓存中而已）。这个本来没有问题，问题在于浏览器多选项页的出现，一个浏览器中存在多个选项页就存在了CSRF（网页交叉攻击）。原因就是多个浏览器选项页在一个浏览器进程中。

这里重要的原因就是浏览器进程选项区并不一一对应，为了提高性能，其实存不几个不同的选项页在同一个浏览器进程中。那么是不是再打一个浏览器就是不同进程了呢？也不是！浏览器进程与浏览器及选项页基本上是无序关系，比如在浏览器中打开了七八个选项区，会看到在任务管理器中存两个浏览器进程（win7以后除了一个主进程外存在的其他进程相当于以前的浏览器进程概念）。如果打一个浏览器只有一个选项页，再击打开个浏览器是不是两个在不同的浏览器进程中呢——也不一定，往往是在一个进程中（这和选项页直接拖出，变成一个浏览器是没有区别的）。所以浏览器进程与打开的区别基本上来说没有什么关系了，所以如果两个选项页或两个浏览器不同用户登陆时，使用同一个浏览器进程会使用相同的session！这也是为什么会存在CSRF，它就是结合了这种特性和跨域的特性形成的一种攻击手段。

当然，如果是两个不同的浏览器，不同的浏览器登陆不同的用户（如IE中登陆一个，360中登陆一个）就不会存在这样的问题。

所以大家都注意到这种情况，为了解决CSRF的问题，可以考虑使用token来防止交叉攻击，若是两个用户在同一浏览器下登陆，可以参考一下这个原理去实现。否则同一浏览器多用户登陆的情况基本上算是无解的（要么两个不同的浏览器或使用早期不支持选项页的浏览器)。

基本上来说，就是这样，最先浏览器设计时就没有考虑过同一浏览器上多用户登陆的问题，不过若是测试的情况下，有些测试工具可以使用不同的浏览器进程的（那玩意还要模拟不同的浏览器，所以不会存在这种CSRF的情况的）

求.net session怎么防止session伪造攻击，和怎样进行session伪造

Session是保持回话状态的，当你赋值给它 ，它会有一个随机的8位定长的十六进制数用来做为标识，

URl保持回话时会传送一些Session信息，包括Session.id等,

Session伪造就要猜出Session.ID和相对应的值才可以进行模拟其他用户的操作，比如你做登陆权限时 每个页面都判断SESSION("UserName")是否为空等等。。否则转入登陆界面重新给SESSION赋值

防止SESSION伪造最安全的话，那就用HTTPS协议咯```这是最妥的。。

.net中Session问题

在web。config文件中 找到 sessionState

mode="InProc"

stateConnectionString="tcpip=127.0.0.1:42424"

sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"

cookieless="false"

timeout="20"

/

会话状态默认是true 你是不是加了一个FALSE呢

在.net中session和cookie的区别是什么？

cookie会把数据存储在客户端的

C:\Documents and Settings\用户名\Cookies

下面。你可以看到.txt格式的cookies文件。

里面的数据随取随用

不过可以对其设置过期时间，超过时间就无效化。这个也是很多页面用来识别用户信息的一种方法。

session和application应该同时进行比较，与cookies有本质区别

他们两个作为服务器 变量 存在，既然是和变量类似，也就是说不是真正保存在某个文件中，而是直接在内存中的某块区域读写数据

session针对每个访问的客户端创建一个对象，因此每个访问的用户会拥有不同的session。即使不同用户使用的session名一样，他们看到的东西也是不一样的，各自只能看到自己的session内容。用sessionID可以区分各session。用户断开访问，也就是你把所有这个站点的相关页面全部关闭，session会自动释放掉，就和你的局部变量在函数结束以后自动释放一样。

application针对整个服务器，所有访问的用户可以公用同一个application，有时可以用来做站点的计数，和session不一样的是，application可以看做全局变量。不同用户，获取同一个application，则看到的数据一样。但是application对象的创建时间是服务器或者站点启动的时候，释放时间是停止的时候

(话说你没给分，亏我敲这么多字呐，今天没事上来看了一下就发现你的问题了呵呵)

运行命令中NET SESSION 是干什么用的？

Net Session

列出或断开本地计算机和与之连接的客户端的会话。

net session [\computername] [/delete]

参数

无

键入不带参数的 net session 可以显示所有与本地计算机的会话的信息。

\computername

标识要列出或断开会话的计算机。

/delete

结束与 \computername 计算机会话并关闭本次会话期间计算机的所有打开文件。如果省略

\computername 参数，将取消与本地计算机的所有会话。

.NET中如何用session验证登陆

最简单的，自己实现个类，所有需要验证登陆的类都继承于该类，然后重新页面初始化事件，判断 session 中是否存对应的信息，没的话进行页面跳转。简单代码如下：

UserInfo 是自定义的一个用户信息类

/// summary

/// 后台首页

/// /summary

public string adminMainPage = "/Admin/Main.aspx";

/// summary

/// 用户ID

/// /summary

public string strUserID {

get

{

if (Session["UserInfo"] != null)

return (Session["UserInfo"] as UserInfo).UserID;

else

return null;

}

}

protected override void OnInit(EventArgs e)

{

base.OnInit(e);

if (strUserID == null)

{

JavaScript.DoMethod(this.Page, new Guid() + "", "alert('请先登录再进行操作！');window.parent.parent.location='" + loginUrl + "'");

}

}