用户无法修改您存储在 Session[] 中的变量。

但是您仍然应该注意其他会话攻击，例如会话固定和会话劫持。 ASP.Net抽象了许多这些安全性，并为您处理它们，但了解它们仍然非常好。

您还可以将其存储在ViewState中，并将enableViewStateMAC设置为true。 如果有人篡改了viewstate数据，则ViewState验证失败。

For it to be secure 100% it should be kept on the server. Session is a good choice (also DB, but it require more resources-> less performance).
Although I say 100%, it depends on how you implement it.

没有任何方式可以让用户修改Session状态，除非他们欺骗您的应用程序来为他们进行修改。因此，为了在响应之间保持有关用户的信息安全，这是一个不错的起点。

不过，请不要认为会话状态是完全安全的...