在两个命名域之间共享会话Cookie [英] Sharing session cookie across two named domains

问题描述

我有一个具有下列域的.Net Web应用程序： Www.domain.com Sub.domain.com Files.domain.com

当用户登录到domain.com或sub.domain.com时，我希望他们共享会话状态(即同时登录到这两个域)。这可以通过将会话Cookie上的域设置为".domain.com"来实现。 然而，我的问题是，由于安全问题，域"files.domain.com"应该而不是具有会话状态(来自该域上托管的用户创建文件的XSS攻击是一个问题)。

在ASP.NET中，是否可以对这两个域使用相同的ASP.NET会话ID，但不能对第三个域使用相同的ASP.NET会话ID？

提前谢谢！

推荐答案

以下是我想到的几个选项：

#1-通过客户端脚本将登录请求发布到两个应用程序。这将使您能够同时为两个有效域设置Cookie。这使您能够通过为要在其上对用户进行身份验证的特定域创建Cookie来避免您所关心的XSS问题。

#2-将您的"不安全"站点移至不同的域。例如：www.domain-files.com。使用该选项，您可以使用共享Cookie来管理身份验证。

这篇关于在两个命名域之间共享会话Cookie的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！