session可否被伪造?

可以伪造,但它还有一个session.id你不知道

解决方案 »

  1.   

    session.id在一个提交报文的那个位置?是随机生成的么?
    也就是说。以上session中只有一个用户名的方法是没关系的?也是安全的?
      

  2.   

    asp.net在验证是否正确session的时候是按照session的值和id值来判断是否正确?
      

  3.   

    你用win2000的网络监视器跟踪一下GET或POST的数据包就知道了, 有一个Session的值, 采用base64的编码方式
    只要建立了连接,以后每次请求一个页面都发同一个id其它就没什么特殊的了
      

  4.   

    那么这样只设置一个用户名的session安全么?
      

  5.   

    几年以来都是这么做的,放心用吧A想模拟B的会语,但它无法知道B的session.id(这是随机的8位定长的十六进制数)