无Cookie 的 Session State

最新推荐文章于 2019-01-08 02:32:16 发布
最新推荐文章于 2019-01-08 02:32:16 发布
阅读量1.1k 收藏
点赞数
分类专栏: ASP.NET Session与Cookie 文章标签: session asp.net url 浏览器 authentication asp

//–Session State是1997年 ASP引入的技术.
当用户首次连接到站点时,ASP会创建一个类似Hashtable的内存块来会保存Session State,同时
还会创建一个 ID 以便将其与当前用户唯一地联系起来。当下一次发出请求时,该用户将被要求提交该
Session ID,以便检索并正确地还原会话状态。Sessioin ID 是 ASP 和 ASP.NET 完全自主生成的字母
数字字符串. 浏览器会使用Cookie(最早由 Netscape 发明)在客户端保存Session ID,

//–在asp.net中使用无 cookie的session
修改web.config
<sessionState cookieless=”true” />

此时请求http://yourserver/folder/default.aspx,实际上发送的是
http://yourserver/folder/(session ID)/default.aspx

这种做法的缺点是如果在得到ID后浏览了别的网站,然后重新输入原来的URL,会得到一个新的ID
以前的session信息将丢失.

//—实现
无Cookie session的实现依赖于两个模块
1. SessionStateModule.这是一个Managed Http Module,需要ASP.NET 和CLR才能工作.
2. aspnet_filter.dll 这是一个win32 dll, 充当 ISAPI filter,由IIS调用.
二者都截获在请求处理过程中激发的 IIS 事件.

当新浏览器会话的第一个请求进入时,SessionStateModule 读取 web.config 文件中有关 Cookie
支持的设置。如果 节的 cookieless 属性设置为 true,则该模块生成一个Session ID,并把Session ID
填充到资源名称前,从而得到一个新的URL,并且使用 HTTP 302 命令将浏览器重定向到新的 URL。

当每个请求到达 IIS 入口时(远早于它被移交给 ASP.NET),aspnet_filter.dll 获得了一个查看
它的机会。如果该 URL 将会话 ID 嵌入到括号中,则会提取该会话 ID 并将其复制到一个名为
AspFilterSessionId 的请求标头中。然后,重写该 URL 以使其看起来像原来请求的资源,并且将其释放。
这一次,ASP.NET 会话状态模块从请求标头中检索会话 ID,并且通过会话-状态绑定继续工作。

只要该 URL 包含可用来获取会话 ID 的信息,无 Cookie 机制就可以很好地工作。

//—Thumbs Up
在 ASP.NET 中,Session state和forms authentication 证是仅有的两个在后台使用 Cookie 的系
统功能。ASP.NET 1.x 仍需要使用 Cookie 来实现表单身份验证。在 ASP.NET 2.0 中,表单身份验证可以
选择以无 Cookie 方式工作,在这种模式下,用户的身份信息也是通过URL来传递.

//—Thumbs Down
由于Session ID直接显示在浏览器的地址栏中!Cookieless的session是危险的,直接抓一个包含Session
ID的URL,就算换一个计算机使用,还是认为是同一个session.
每次同一个浏览器内部手动键入指向某个站点的URL,都将丢失Cookieless的Session state。

使用Cookieless Session还会引起与链接有关的问题。不能在 ASP.NET 页中具有绝对链接。如果这样做,
那么源自该链接的每个请求都将被视为新会话的一部分。无 Cookie 会话要求您总是使用相对 URL,就像在
ASP.NET 回发中一样。仅当可以将会话 ID 嵌入到 URL 中时,您才可以使用完全限定的 URL。但是,既然会
话 ID 是在运行时生成的,那么如何才能做到这一点呢?

下面的代码中断了该会话:

<a runat=”server” href=”/test/page.aspx”>Click</a>

要使用绝对 URL,可以使用 HttpResponse 类上的 ApplyAppPathModifier 方法:

<a runat=”server” href=<% =Response.ApplyAppPathModifier(”/test/page.aspx”)%> >Click</a>
ApplyAppPathModifier 方法采用一个表示 URL 的字符串作为参数,并且返回一个嵌入了会话信息的绝对 URL。
例如,当您需要从 HTTP 页重定向到 HTTPS 页时,该技巧尤其有用。

最后,请特别注意,还要请您注意的是,对于移动应用程序,如果设备无法处理专门格式化的 URL,Cookieless
Session 可能会出现问题。

参考
无 Cookie 的 ASP_NET (Dino Esposito)
http://www.microsoft.com/china/msdn/library/webservices/asp.net/asppcookieless.mspx
http://msdn.microsoft.com/asp.net/default.aspx?pull=/library/en-us/dnaspp/html/cookieless.asp

ASP.NET Session State

Foiling Session Hijacking Attempts
http://msdn.microsoft.com/msdnmag/issues/04/08/WickedCode/default.aspx

 
jelink
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sessionState 配置方案之cookieless
sniper007的专栏
07-09 2万+
ASP.NET中客户端Session状态的存储 在我们上面的Session模型简介中,大家可以发现Session状态应该存储在两个地方,分别是客户端和服务器端。客户端只负责保存相应网站的SessionID,而其他的Session信息则保存在服务器端。在ASP中,客户端的SessionID实际是以Cookie的形式存储的。如果用户在浏览器的设置中选择了禁用Cookie,那末他也就无法享受Sessi
对比分析php中CookieSession的异同
12-19
让大家对CookieSession有一个更深入的了解,并对自己的开发工作中灵活运用带来启示。 一、cookie机制 Cookies是服务器在本地机器上存储的小段文本并随每一个请求发送至同一个服务器。IETF RFC 2965 HTTP State ...
Session详解 - sessionState 元素
weixin_33871366的博客
01-20 380
为当前应用程序配置会话状态设置。 &lt;sessionState mode="[Off|InProc|StateServer|SQLServer|Custom]" timeout="number of minutes" cookieName="session identifier cookie name" cookieless=...
ASP.NET Session State
weixin_33755649的博客
01-08 182
是在那个时候使用: 应用程序状态,存储可以访问一个ASP.NET应用程序的所有用户的变量. Profile属性,在数据存储中持续用户变量不会过期. ASP.NET caching,存储一个值在内存中让使用的ASP.NET应用程序使用 查看state,在页面上持续值. Cookies. 使用给HTTP请求在一个HTML上查询字符和域. ...
ASP.NET通过分布式Session提升性能
01-01
如果我们正在使用Session,那么构建高性能可扩展的ASP.NET...ASP.NET Session State Partitioning http://blog.maartenballiauw.be/post/2008/01/23/ASPNET-Session-State-Partitioning.aspASP.NET load balanci
C#中的cookie编程简单实例与说明
01-01
代码如下:using System;...using System.Web.SessionState;using System.Web.UI;using System.Web.UI.WebControls;using System.Web.UI.HtmlControls;using System.Net;namespace WebApplication5{ ///  
nginx 负载均衡 多站点共享Session
01-10
多站点共享Session常见的作法有: •使用.net自动的状态服务(Asp.net State Service); •使用.net的Session数据库; •使用Memcached。 •使用Cookie方式实现多个站点间的共享(这种方式只限于几个站点都在同一...
关于有些Asp.net项目发布后出现网址乱码的解决方法
01-02
当我输入网站域名,打开网页后url中会跟一段“乱码” 代码如下:http://www.XXXX.com/(S(jnzpixfqi5rge5rnl45vdb45))/index.aspx 最后在查看web.config时看到了一句 <sessionState mode=”InProc” ...
web.config中的cookieless问题
Terry的专栏
04-24 2909
web.config中sessionStatecookieless的设置问题.session有两种实现形式一种是cookie一种是重写URL,就是请求最后加上SessionID,而cookieless=true就是禁止了cookie,则只能采用后一种形式.那么ASP.NET就会在URL中增加一串(xxxxxxxxxxxxx)的编码来代表SessionID,这就是ASP.NET在不支持Co
sessionState为什么设置TimeOut没有用?
热门推荐
hdhai9451的专栏
09-02 1万+
虽然已经设置了timeout=60,但实际上不到60分钟系统就报错过时而退出。   原来问题在这里:   cookieless="UseCookies" timeout="60">
Session, Cookie, Web.config中的cookieless总结
weixin_34342207的博客
06-22 133
闲来无事, 总结回顾一下不清楚的技术点: 1.Session存在server上, asp.net有几种存储方式, 一是inproc, 二是sqlserver, 三是stateserver, 四是可以放到Appfabric Caching中去(这是.net 4.0中新加的). 2.Cookie存在客户端浏览器里, 如果加上expired, 则会保存到客户硬盘上去. 用户可以启用cookie, 也...
ASP.NET 的状态管理
神奇小子技术出世
03-19 966
  web Form 网页是基于HTTP的,它们没有状态, 这意味着它们不知道所有的请求是否来自同一台客户端计算机,网页是受到了破坏,以及是否得到了刷新,这样就可能造成信息的丢失。 于是, 状态管理就成了开发网络应用程序的一个实实在在的问题。    在ASP中能够通过Cookie 、查询字符串、 应用程序、会话(Session) 等轻易解决这些问题。现在在ASP.NET环境中,我们依然可以使用这些
使用无CookieSession状态
天外有天,人外有人。 专注品质 不断创新 让精益求精成为习惯
12-31 2994
默认情况下,Session状态依赖CookieASP.NET Framework利用ASP.NET_SessionId这个Cookie来识别跨页面请求的用户, 这样正确的数据就能关联到正确的用户。如果浏览器中禁用了CookieSession状态就不能工作了。   如果希望cookie被禁用时,Session状态还是能工作,就应该使用无Cookie的会话。当启用无Cookie的会话时,用户
session 可以设置过期时间吗
最新发布
06-02
ASP.NET 中,可以通过在 web.config 文件中的 sessionState 元素中设置 timeout 属性来设置 Session 的过期时间,单位是分钟。例如,下面的配置将 Session 的过期时间设置为 60 分钟: ```xml <sessionState...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值