问将ASPNET_SessionId值留在html隐藏字段中，有任何安全问题吗？

EN

是的，任何获得会话id的人都可以访问该用户的会话。这是一个很大的安全风险，由于许多人错误地将其用于自定义身份验证(您似乎正在这样做)，这使情况变得更糟。

通过将其写入页面，您可以更容易地通过XSS技术和其他技术进行窃取。会话根本不安全，这就是为什么.NET有自己的身份验证方案，使用加密并与会话完全解耦。

我可以给你发送一个链接，设置你的cookie，等待你登录，分享相同的cookie，并访问你的所有详细信息，就像我是你一样。会话Id是一个随机令牌，根本没有加密。

实现身份验证的方法是通过.NET身份验证cookie，也可以选择使用MembershipProvider。这将基于服务器唯一的机器密钥创建加密的cookie。只有此服务器可以解密cookie，以便对用户进行身份验证。如果有人强加给你一个会话ID，或者窃取它，他们仍然不能以你的身份进行身份验证。

当然，有人也可以窃取您的身份验证cookie，但有一种选择是只通过SSL提供cookie，以防止这种情况发生，而且由于加密，它不能强加于您。

它确实打开了一个安全漏洞，但它与使用无cookieless会话没有什么不同，后者将会话ID存储在URL中。

使用HTTPS会有所帮助。