明輝手游網(wǎng)中心:是一個免費提供流行視頻軟件教程、在線學習分享的學習平臺!

無 Cookie 的 ASP.NET

[摘要]摘要:Dino 探究無 Cookie 會話的優(yōu)缺點,并且討論為什么應(yīng)該避免在會話狀態(tài)中存儲有價值的信息。我們承認這一點 — 我們對會話狀態(tài)這一概念是如此習以為常,以至于我們忘記了會話狀態(tài)是在 199...
摘要:Dino 探究無 Cookie 會話的優(yōu)缺點,并且討論為什么應(yīng)該避免在會話狀態(tài)中存儲有價值的信息。

我們承認這一點 — 我們對會話狀態(tài)這一概念是如此習以為常,以至于我們忘記了會話狀態(tài)是在 1997 年用 Active Server Pages (ASP) 引入的一個手段。會話狀態(tài)使開發(fā)人員能夠在用戶與應(yīng)用程序交互這段時間內(nèi)持久保存有關(guān)該用戶的一塊信息。特定于用戶的信息通常會保留 20 分鐘長的時段,而每當用戶返回該站點時,該時段都將重新開始計時。

當用戶首次連接到站點時,將以內(nèi)存塊的形式創(chuàng)建一個全新的會話狀態(tài)以存放數(shù)據(jù),同時,還會創(chuàng)建一個 ID 以便將其與當前用戶唯一地聯(lián)系起來。當下一次發(fā)出請求時,該用戶將被要求提交該會話 ID,以便檢索并正確地還原會話狀態(tài)。會話 ID 是 ASP 和 ASP.NET 完全自主生成的字母數(shù)字字符串。用戶如何管理它并確保用每個后續(xù)請求來包裝它呢?

HTTP 協(xié)議的性質(zhì)是無狀態(tài)的,并且沒有任何人試圖更改這一事實。差不多二十年以前,當 Netscape Corporation 開發(fā)它的第一個瀏覽器時,它“發(fā)明”了一種通過 HTTP 工作的持久性機制。它將其稱為 HTTP Cookie。有趣的是,計算機科學行話中的術(shù)語“Cookie”僅僅表示一塊由應(yīng)用程序持有的不透明數(shù)據(jù),它會影響用戶但永遠不會由用戶直接管理。

因此,Cookie 存儲會話的 ID,而瀏覽器則在 Web 服務(wù)器和本地用戶的計算機之間來回移動它們的內(nèi)容。當啟用了 Cookie 的瀏覽器收到響應(yīng)數(shù)據(jù)包時,它將尋找附加的 Cookie,并將它們的內(nèi)容存儲到本地 Windows 目錄中特定文件夾的某個文本文件中。Cookie 還包含有關(guān)該源站點的信息。接下來,當瀏覽器向該站點發(fā)送請求時,它會在 Cookie 文件夾中查找源自該域的 Cookie。如果找到,則該 Cookie 自動附加到傳出的數(shù)據(jù)包中。該 Cookie 將命中服務(wù)器應(yīng)用程序,并在此被檢測、提取和處理。

最終,Cookie 使 Web 站點更加易于導(dǎo)航,因為它們在用戶體驗之上提供了必然跨越多個請求的連續(xù)性錯覺。

Cookies 是不是一個問題?
多年以來,Cookie 只被視為一種技術(shù)功能,并且在很大程度上被忽略了。幾年以前,針對 Web 安全的世界范圍的浪潮將人們的注意力集中于 Cookie 身上。Cookie 被斷定包含危險的程序,它們甚至能夠超出計算機的物理邊界來竊取有價值的信息。

不言而喻,Cookie 不是程序,因而無法自行收集任何信息 — 更不用說有關(guān)用戶的任何個人信息。更加清楚的是,Cookie 是 Web 站點可以放置在用戶的計算機中以便以后檢索和重用的一段文本。所存儲的信息是由無害的名稱-值對組成的。

要點在于,Cookie 不是標準 HTTP 規(guī)范的一部分,因此它們意味著瀏覽器和 Web 站點之間的一種協(xié)作。并非所有瀏覽器都支持 Cookie,而且更為重要的是,并非所有用戶都在他們自己的瀏覽器副本中啟用 Cookie 支持。

在歷史上,有一些 Web 站點功能是如此緊密地與 Cookie 相聯(lián)系,以至于很難區(qū)分究竟是哪個功能最先出現(xiàn)。一方面,用 Cookie 對會話狀態(tài)管理和用戶身份驗證進行編碼要容易得多。另一方面,如果您觀察一下站點與用于訪問頁的瀏覽器有關(guān)的統(tǒng)計信息,那么您可能會驚訝地發(fā)現(xiàn),相當一部分用戶在連接時禁用了 Cookie。這一點會對開發(fā)人員有所啟示。

總而言之,Cookie 本身并不是問題,但它們的使用無疑給予一些服務(wù)器代碼在客戶端計算機中存儲一段數(shù)據(jù)的能力。這預(yù)示著一些潛在的安全風險和一種不夠理想的總體狀況。(在某些情況以及某些國家/地區(qū)中,應(yīng)用程序要求 Cookie 工作甚至是非法的。)

返回頁首
進入無 Cookie 會話
在 ASP.NET 中,無需使用 Cookie,就可以有選擇地建立必要的會話-用戶聯(lián)系。非常有趣的是,除了以下配置設(shè)置以外,您無需在 ASP.NET 應(yīng)用程序中更改任何內(nèi)容即可啟用無 Cookie 會話。

<sessionState cookieless="true" />

ASP.NET 會話狀態(tài)的默認設(shè)置是在 machine.config 文件中定義的,并且可以在應(yīng)用程序根文件夾中的 web.config 文件中重寫。通過確保上述行出現(xiàn)在根 web.config 文件中,您可以啟用無 Cookie 會話。就是這樣 — 簡單而有效!

<sessionState>節(jié)點還可以用于配置會話狀態(tài)管理的其他方面,包括存儲介質(zhì)和連接字符串。但是,就 Cookie 而言,只需您將 cookieless 屬性設(shè)置為 true(默認設(shè)置為 false)。

請注意,會話設(shè)置是應(yīng)用程序范圍的設(shè)置。換句話說,您站點中的頁要么都將使用要么都將不使用 Cookie 來存儲會話 ID。

當不使用 Cookie 時,ASP.NET 在哪里存儲會話 ID 呢?在這種情況下,會話 ID 插入到 URL 內(nèi)的特定位置中。下圖顯示一個使用無 Cookie 會話的真實站點的快照。



圖 1. 使用無 Cookie 會話的 MapPoint

假設(shè)您請求了一個類似于 http://yourserver/folder/default.aspx 的頁。正如您可以從 MapPoint 快照中看到的那樣,資源名稱前面的相鄰斜杠進行了擴展,以便包含在內(nèi)部填充了會話 ID 的括號,如下所示。

http://yourserver/folder/(session ID here)/default.aspx

會話 ID 嵌入到 URL 中,并且無需在其他任何地方持久保存它。唔,并不完全是這樣。請考慮以下方案。

您訪問了一個頁,并且被分配了一個會話 ID。接下來,您清除了同一瀏覽器示例的地址欄,轉(zhuǎn)到另一個應(yīng)用程序并且開始工作。然后,您重新鍵入了上一個應(yīng)用程序的 URL,并且(猜猜看)在您進入的過程中檢索會話值。

如果您使用無 Cookie 會話,那么當您第二次訪問該應(yīng)用程序時,您將被分配一個不同的會話 ID,并且丟失以前的所有狀態(tài)。這是無 Cookie 會話的一個典型的副作用。為了了解其原因,讓我們進一步探討無 Cookie 會話的實現(xiàn)。

返回頁首
實現(xiàn)
無 Cookie 會話的實現(xiàn)得益于下列兩個運行時模塊的努力:一個名為 SessionStateModule 的標準會話 HTTP 模塊,以及一個名為 aspnet_filter.dll 的可執(zhí)行文件。后者是一小段 Win32 代碼,它充當 ISAPI 篩選器。HTTP 模塊和 ISAPI 篩選器實現(xiàn)了相同的思想,不同之處在于 HTTP 模塊由托管代碼組成,并且需要 ASP.NET 和 CLR 觸發(fā)才能工作。像 aspnet_filter.dll 這樣的傳統(tǒng) ISAPI 篩選器是由 Internet 信息服務(wù) (IIS) 調(diào)用的。二者都截獲在請求處理過程中激發(fā)的 IIS 事件。

當新瀏覽器會話的第一個請求進入時,會話狀態(tài)模塊讀取 web.config 文件中有關(guān) Cookie 支持的設(shè)置。如果 節(jié)的 cookieless 屬性設(shè)置為 true,則該模塊生成一個新的會話 ID,通過將該會話 ID 填充到資源名稱前面的相鄰位置來分割 URL,并且使用 HTTP 302 命令將瀏覽器重定向到新的 URL。

當每個請求到達 IIS 入口時(遠遠早于它被移交給 ASP.NET),aspnet_filter.dll 獲得了一個查看它的機會。如果該 URL 將會話 ID 嵌入到括號中,則會提取該會話 ID 并將其復(fù)制到一個名為 AspFilterSessionId 的請求標頭中。然后,重寫該 URL 以使其看起來像原來請求的資源,并且將其釋放。這一次,ASP.NET 會話狀態(tài)模塊從請求標頭中檢索會話 ID,并且通過會話-狀態(tài)綁定繼續(xù)工作。

只要該 URL 包含可用來獲取會話 ID 的信息,無 Cookie 機制就可以很好地工作。正如您稍后將看到的那樣,這會造成一些使用限制。

讓我們研究一下無 Cookie 會話的優(yōu)缺點。

返回頁首
優(yōu)點
在 ASP.NET 中,會話管理和表單身份驗證是唯一的兩個在后臺使用 Cookie 的系統(tǒng)功能。通過無 Cookie 會話,您現(xiàn)在可以部署無論用戶的有關(guān) Cookie 的首選項如何都能正常工作的有狀態(tài)應(yīng)用程序。然而,就 ASP.NET 1.x 而言,仍然需要使用 Cookie 來實現(xiàn)表單身份驗證。好消息是,在 ASP.NET 2.0 中,表單身份驗證可以選擇以無 Cookie 方式工作。

另一個經(jīng)常提出的反對 Cookie 的理由是安全性。這是一個值得予以更多關(guān)注的要點。

Cookies 是無活動能力的文本文件,因此,這些文件可能被攻擊者替換或損壞 — 只要他們獲得了對計算機的訪問。真正的威脅并不在于 Cookie 可以在客戶端計算機上安裝什么,而是在于它們可以向目標站點上載什么。Cookie 不是程序,并且永遠不會像程序那樣運行;然而,您計算機上安裝的其他軟件可以使用對 Cookie 的瀏覽器內(nèi)置支持來遠程從事破壞活動。

此外,Cookie 要受到被盜竊的風險。一旦失竊,包含有價值的和私人的信息的 Cookie 就可能將其內(nèi)容泄露給惡意攻擊者,并且為其他類型的 Web 攻擊提供便利?傊,通過使用 Cookie,您將自己暴露在本可以消除的風險之中。這是真的嗎?

返回頁首
缺點
讓我們從另一個角度來考察安全性。您是否曾經(jīng)聽說過會話劫持?如果沒有,則請閱讀一下 TechNet Magazine 文章 Theft On The Web: Prevent Session Hijacking。簡單說來,當攻擊者獲得對特定用戶的會話狀態(tài)的訪問時,將發(fā)生會話劫持。其實質(zhì)是,攻擊者竊取有效的會話 ID,并且使用它侵入系統(tǒng)和窺探數(shù)據(jù)。獲取有效會話 ID 的一種常見方式是竊取有效的會話 Cookie。鑒于此,如果您認為無 Cookie 會話保護了您應(yīng)用程序的安全,那您就完全錯了。實際上,對于無 Cookie 會話,會話 ID 直接顯示在地址欄中!請嘗試下列操作:

1.
連接到使用無 Cookie 會話的 Web 站點(例如,MapPoint)并獲得一個映射。此時,該地址存儲在會話狀態(tài)中。

2.
抓取 URL(直至頁名稱)。不要包括查詢字符串,但請確保該 URL 包括會話 ID。

3.
將該 URL 保存到文件中,并將該文件復(fù)制/發(fā)送到另一臺計算機。

4.
在第二臺計算機上打開該文件,并將該 URL 粘貼到新瀏覽器實例中。

5.
只要會話超時仍然有效,就會顯示同一個映射。


通過無 Cookie 會話,可以比以往任何時候都更加容易地竊取會話 ID。

從道德的觀點來看,竊取會話是應(yīng)該受到譴責的操作,我相信大家會一致認同這一點。但它是否也是有害的?這取決于會話狀態(tài)中實際存儲的內(nèi)容。竊取會話 ID 本身并不會執(zhí)行超出代碼控制范圍的操作。但是,它可能向未經(jīng)授權(quán)的用戶泄露私有數(shù)據(jù),并且使一些壞家伙能夠執(zhí)行未經(jīng)授權(quán)的操作。有關(guān)如何在 ASP.NET 應(yīng)用程序中阻止會話劫持的提示,請閱讀 Wicked Code: Foiling Session Hijacking Attempts。(而且,它并不依賴于無 Cookie 會話。

使用無 Cookie 會話還會引起與鏈接有關(guān)的問題。例如,您不能在 ASP.NET 頁中具有絕對的、完全限定的鏈接。如果您這樣做,那么源自該超鏈接的每個請求都將被視為新會話的一部分。無 Cookie 會話要求您總是使用相對 URL,就像在 ASP.NET 回發(fā)中一樣。僅當您可以將會話 ID 嵌入到 URL 中時,您才可以使用完全限定的 URL。但是,既然會話 ID 是在運行時生成的,那么您如何才能做到這一點呢?

下面的代碼中斷了該會話:

<a runat="server" href="/test/page.aspx">Click</a>

要使用絕對 URL,可以借助于一個小技巧,即,使用 HttpResponse 類上的 ApplyAppPathModifier 方法:

<a runat="server" href=<% =Response.ApplyAppPathModifier("/test/page.aspx")%> >Click</a>

ApplyAppPathModifier 方法采用一個表示 URL 的字符串作為參數(shù),并且返回一個嵌入了會話信息的絕對 URL。例如,當您需要從 HTTP 頁重定向到 HTTPS 頁時,該技巧尤其有用。最后,請?zhí)貏e注意,每當您在同一個瀏覽器內(nèi)部鍵入指向某個站點的路徑時,您都將丟失無 Cookie 會話的狀態(tài)。還要請您注意的是,對于移動應(yīng)用程序,如果設(shè)備無法處理專門格式化的 URL,則無 Cookie 會話可能會出現(xiàn)問題。

返回頁首
小結(jié)
ASP.NET 中存在無 Cookie 會話的主要原因是用戶(無論出于什么原因)可能在他們的瀏覽器中禁用了 Cookie。如果您的應(yīng)用程序需要會話狀態(tài),那么無論您是否喜歡,您都必須面對這種情況。無 Cookie 會話將會話 ID 嵌入到 URL 中,并且得到了雙重結(jié)果。一方面,它們?yōu)?Web 站點提供了一種正確標識發(fā)出請求的用戶的方式。然而,另一方面,它們使會話 ID 清楚地顯現(xiàn)在潛在的攻擊者面前,從而使攻擊者可以輕松地竊取它并以您的身份進行操作。

要實現(xiàn)無 Cookie 會話,您無需修改自己的編程模型 — 只需在 web.config 文件中進行簡單更改,就可以完成相關(guān)工作 — 但是,還要強烈建議您重構(gòu)您的應(yīng)用程序,以免在會話狀態(tài)中存儲有價值的信息。同時,將會話的生存期縮短至默認的 20 分鐘以內(nèi)有助于保護您的用戶和站點的安全。

關(guān)于作者

Dino Esposito 是 Wintellect 的講師和顧問,他居住在意大利。他是 Programming Microsoft ASP.NET 以及更新的 Introducing Microsoft ASP.NET .0(兩者都由 Microsoft Press 出版)的作者,他的大多數(shù)時間都用來講授有關(guān) ASP.NET 和 ADO.NET 的課程以及在會議上發(fā)表講演。請在 http://weblogs.asp.net/despos 瀏覽 Dino 的網(wǎng)絡(luò)日記。