关于处理账户安全问题时的发现的几个验证码问题

每个项目都需要使用，在很多项目中都出现一个aspx页面或者其他处理代码，我们可以尝试封装到公用类里面实现IHttpHandler，在使用的项目中直接引用公用dll后再在项目的配置文件中注册处理程序。
　　　　<add verb="GET" path="CaptchaImage.aspx" type="Tools.CaptchaImageHandler, Tools" />

默认实现IHttpHandler不支持Session需要实现IRequiresSessionState接口才支持Session功能

验证码的随机字符的Session在什么时候生成？

　　也许大部分情况都是在生成图片的时候随机出字符，在写入到Seesion的。如果这个时候你没太注意，直接判断输入验证码和Seesion中验证码是否一样，没有验证是否为空的时，就存在一个安全漏洞。某些恶意用户禁用掉你的验证码图片，直接就绕过了验证码功能了。所以验证码随机字符Session在登录页面的Page_Load中生成才是比较保险的