目的

在公司项目的某个特定场景中，需要在站点B的后端伪造请求，获取站点A的登录状态，抓取站点A的页面内容，因此要用实现session的跨域.以注册功能为例。

步骤

原理

1. 简单地说，对于ASP.Net应用,cookie中存有个键为ASP.NET_SessionId的值，每次请求时的都会携带有此值的cookie,服务器端根据ASP.NET_SessionId来回去获取对应的session。

2. 利用VS构建一个简单的MVC应用，运行，利用谷歌浏览器的开发者工具查看Network,你会发现cookie没有名为ASP.NET_SessionId的值，可能连cookie都没有，因为服务器并没有构建session。
   
   控制器添加一句Session["hah"] = "1";,再次运行，确保浏览器是创建一个新的会话，查看Response Headers，会发现有个属性Set-Cookie:ASP.NET_SessionId=shvuuqta2liip1ux5jsrumro; path=/; HttpOnly,有这个属性是因为服务器会为此次会话首次创建session,所以response 会添加此属性，指导浏览器创建cookie，此后由该会话cookie保留此属性，服务器不在传递。
   
   刷新，就会发现Response 没了Set-Cookie,cookie多了ASP.NET_SessionId.

3. Set-Cookie只会在会话第一次创建session时传递，只要在B后端构建请求并获取第一次的值，并把它存在自己的session中，然后每次创建请求时，利用该值构建cookie,就可以保持一个伪造的A会话。

应用场景

进入B的登录页面 -> 加载验证码(实为后台抓取A的验证码) -> 登录(利用登录信息获取A的登录状态) -> 抓取A中只有登录才能进入的页面

实现

1. 创建扩展方法，为请求添加伪造的cookie

   public static class CookieExtension
   
   {
   
   public static void AddAspCookie(this HttpWebRequest request)
   
   {
   
   string cookievalue = HttpContext.Current.Session["fakecookie"] != null ? HttpContext.Current.Session["fakecookie"].ToString() : "";
   
   string cookiename = "ASP.NET_SessionId";
   
   Cookie cookie = new Cookie(cookiename, cookievalue);
   
   //cookie必须要有domain,即主机ip
   
   cookie.Domain = "127.0.0.1";
   
   //创建cookie容器，添加cookie
   
   request.CookieContainer = new CookieContainer();
   
   request.CookieContainer.Add(cookie);
   
   }
   
   }

2. 登录页面获取验证码时服务器第一次创建session,此时获取ASP.NET_SessionId.

   //获取验证码图片
   
   public ActionResult GetImg()
   
   {
   
   string web = System.Configuration.ConfigurationManager.AppSettings["web"].ToString();
   
   string url = web + "/getimg";

    HttpWebRequest request = (HttpWebRequest)WebRequest.Create(url);
   
    request.Method = "GET";
   
    //request 可能要添加一些属性，主要是为了通过后端的请求验证，比如ua,host,referer
   
    request.UserAgent = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.82 Safari/537.36";
   
    if (Session["fakecookie"] == null || Session["fakecookie"].ToString() == "")
   
    {
   
    	//第一次请求，获取asp.net_sessionid的值
   
        WebResponse response = request.GetResponse();
   
    	//set-cookie 索引为5
   
        string setcookie = response.Headers.Get(5).ToString();
   
    	//获取set-cookie中asp.net_sessionid的值
   
        string cookieValue = setcookie.Substring(setcookie.IndexOf("=") + 1, setcookie.IndexOf(";") - setcookie.IndexOf("=") - 1);
   
        Session["fakecookie"] = cookieValue;
   
        return this.File(response.GetResponseStream(), "image/JPEG");
   
    }
   
    else
   
    {
   
    	//非第一次，直接伪造cookie
   
        request.AddAspCookie();
   
        WebResponse response = request.GetResponse();
   
        return this.File(response.GetResponseStream(), "image/JPEG");
   
    }
   

   }

3. 构造登录方法

   [HttpPost]
   
   public JsonResult LogOn(FormCollection fc)
   
   {

    string web = System.Configuration.ConfigurationManager.AppSettings["web"].ToString();
   
    string url =  web +"/logon";
   
    string userAgent ="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.82 Safari/537.36";
   
    HttpWebRequest request = WebRequest.Create(url) as HttpWebRequest;
   
    //添加request基本属性
   
    request.Method = "POST";
   
    request.UserAgent = userAgent;
   
    request.ContentType = "application/x-www-form-urlencoded; charset=UTF-8";
   
    //进入登入页面时已加载验证码图片，获取了ASP.NET_SessionId, 直接添加伪造cookie
   
    request.AddAspCookie();
   
    //伪造post请求，把表单数据写入流
   
    if (fc.Count > 0)
   
    {
   
        StringBuilder buffer = new StringBuilder();
   
        int i = 0;
   
        foreach (string key in fc.Keys)
   
        {
   
            if (i > 0)
   
            {
   
                buffer.AppendFormat("&{0}={1}", key, fc[key]);
   
            }
   
            else
   
            {
   
                buffer.AppendFormat("{0}={1}", key, fc[key]);
   
            }
   
            i++;
   
        }
   
        byte[] data = Encoding.ASCII.GetBytes(buffer.ToString());
   
    	//内容长度，必填
   
        request.ContentLength = data.Length;
   
        Stream newStream = request.GetRequestStream();
   
        newStream.Write(data, 0, data.Length);
   
        newStream.Close();
   
    }
   
    WebResponse response = request.GetResponse();
   
    //定义response字符流
   
    Stream dataStream;
   
    dataStream = response.GetResponseStream();
   
    StreamReader reader = new StreamReader(dataStream);
   
    string responseFromServer = reader.ReadToEnd();//读取所有
   
    //关闭资源
   
    reader.Close();
   
    dataStream.Close();
   
    response.Close();
   
    //返回Json数据
   
    return Json(responseFromServer, JsonRequestBehavior.AllowGet);
   

   }

4. 结果

登录界面的验证码从A站获取，不断刷新，A站服务器端记录为一次会话，用A站账号，顺利登录。

1. Tips

如果要伪造Ajax，后台有可能利用MVC封装的方法验证，用.Net Reflector反编译一下

public static bool IsAjaxRequest(this HttpRequestBase request)

{

    if (request == null)

    {

        throw new ArgumentNullException("request");

    }

    return ((request["X-Requested-With"] == "XMLHttpRequest") || ((request.Headers != null) && (request.Headers["X-Requested-With"] == "XMLHttpRequest")));

}

所以创建request时候，要做特殊处理

//方法，长度，"X-Requested-With"这3个属性为必须的。

request.Method = "POST";

request.ContentLength = 0;

request.Headers.Add("X-Requested-With", "XMLHttpRequest");