Я создаю веб-приложение в asp.net mvc, которое использует аутентификацию форм для аутентификации пользователей. Я использую HTTP-прокси-инструмент «burp» для захвата аутентифицированных файлов cookie аутентифицированных пользователей. После этого я выхожу из приложения. Теперь я использую захваченный аутентифицированный файл cookie для отправки запроса на мой сервер, и сервер обрабатывает запрос как аутентифицированный запрос (даже если этот пользователь выходит из моего браузера). Может ли кто-нибудь сообщить мне, где я ошибаюсь в своем коде выхода?
Ниже мой код выхода из приложения
public virtual ActionResult LogOff()
{
FormsAuthentication.SignOut();
Session.Abandon();
// clear authentication cookie
HttpCookie cookie1 = new HttpCookie(FormsAuthentication.FormsCookieName, "");
cookie1.Expires = DateTime.Now.AddYears(-1);
Response.Cookies.Add(cookie1);
// clear session cookie
HttpCookie cookie2 = new HttpCookie("ASP.NET_SessionId", "");
cookie2.Expires = DateTime.Now.AddYears(-1);
Response.Cookies.Add(cookie2);
HttpCookie cookie3 = new HttpCookie("__RequestVerificationToken", "");
cookie3.Expires = DateTime.Now.AddYears(-1);
Response.Cookies.Add(cookie3);
HttpCookie cookie4 = new HttpCookie(".ASPXAUTH", "");
cookie4.Expires = DateTime.Now.AddYears(-1);
Response.Cookies.Add(cookie4);
return RedirectToAction(MVC.Account.Login());
}
Ниже приведен снимок экрана инструмента burp для отправки аутентифицированного запроса, который дает успешный ответ.
cookie3
иcookie4
у вас снова истекает срок действияcookie2
собственности?? - person Guruprasad J Rao   schedule 29.06.2015