Session["AccessCount"] = 1;

                       //创建Cookie

                   System.Web.HttpCookie cookie=new HttpCookie("UserInfo");

                   cookie["UserName"] = "asp";

                   cookie["AccessCount"] = "1";

                   cookie.Expires = DateTime.Now.AddDays(30);

                   Response.Cookies.Add(cookie);

                      //重定向到受保护页面

                   Response.Redirect("Protected.aspx?Message=Parameter In Url");

    }

}

上述程序代码非常简单，参看注释可以快速理解。这里值得提一下的是Session的安全性和Cookie的安全性问题。

我们知道，HTTP是无状态的，但是Web 应用必须提供对某些跨请求状态信息的维持，最常见的例子就是Web购物站点的购物车，因此所有的Web编程环境均提供了会话(Session)支持。在ASP.NET中，会话都是使用 120 位的 SessionID 字符串进行标识和跟踪的，SessionID 值是使用保证唯一性和随机性的算法（例如MD5算法）生成的，SessionID随机性使得怀有恶意的用户不能使用新的 SessionID 来计算现有会话的 SessionID。

在默认状态下，SessionID是保存在客户端的会话Cookie中的，假如客户端禁用了Cookie，通过设置Web.config文件中的<sessionState>节点的属性cookieless="true"，你可以使得SessionID附在URL中。此时，在你的Session有效期内，假如你将你的SessionID（从URL中获得）告诉你的朋友，他就可以使用你的SessionID从其它机器访问同一个Web应用，他将和你同用一个的Session内容。这个情况说明了实现SessionID的唯一性和随机性的原因所在。

SessionID由客户端加以维护，保存在会话Cookie中或URL中。会话状态则由服务端维护，ASP.NET 中有三种会话状态的存储模式。您可以在进程内、状态服务器（StateServer）和 SQL Server 之间选择。具体设置可以参考如下MSDN。

Session是面向用户的，它不能跨 Web 应用程序边界。所谓的在本地自建相同Session就可以访问其他Web站点的说法是无稽之谈。从应用的角度来看，Session是安全的，且无法伪造。但是这并不是说，使用Session的Web站点是绝对安全的！最后，值得指出的是，黑客攻击中的会话劫持不是劫持Web应用中的Session，而是指网络应用连接，例如HTTP会话、Telnet会话等。

Cookie是存放在本地的，而且不是加密存放的，所以，不要将重要的信息例如信用卡、密码等资料存放在Cookie中。

请切换到Protected.aspx的代码窗口查看Protected.aspx.cs文件，在Page_Load中输入访问控制代码，完成后的代码如下：

  private void Page_Load(object sender, System.EventArgs e)

         {

              // 在此处放置用户代码以初始化页面

              /* 页面的访问控制代码 */

              string username = (string)Session["UserName"];

                if(username==null)//Session中为空

              {

                   System.Web.HttpCookie cookie= Request.Cookies["UserInfo"];

                      if(cookie!=null)//Cookie不为空

                   {

上一页  [1] [2] [3] [4]  下一页