Question

У меня есть приложение ASP.NET MVC, работающее под IIS7.Он использует стандартное управление сеансами в процессе, которое, согласно всему, что я прочитал, должно потерять сеанс пользователей после перезагрузки пула приложений.Это, кажется, не теряет это все же.Даже сброс IIS не теряет сеанс.Что-то изменилось в IIS7, который поддерживает сессию?

Darshan Patel · Answer 1 · 03 ноября 2010

Это связано с воспроизведением файлов cookie - ваш браузер отправляет файл cookie со старым билетом аутентификации, который принимается как новый сеанс, поскольку веб-сервер не хранит действительные и просроченные билеты аутентификации для последующего сравнения. Это делает ваш сайт уязвимым для повторной атаки, если злонамеренный пользователь получает действительный файл cookie для проверки подлинности форм. Чтобы повысить безопасность при использовании файла cookie для проверки подлинности с помощью форм, см. Ссылку MSDN ниже:

http://msdn.microsoft.com/en-us/library/system.web.security.formsauthentication.signout.aspx

IIS7 ASP.NET внутрипроцессный сеанс не теряется после перезагрузки приложения

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

IIS7 ASP.NET внутрипроцессный сеанс не теряется после перезагрузки приложения

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы