0

私はこの男のように同じ問題を抱えていました。私は幸運だったので、彼の解決策も私のために働きました。でも少し汚いと思いますし、もっといいものはないかと思っていました。

IISでこの構成を設定しましたが、ユーザーがブラウザーを閉じるとCookieは常に期限切れになります(「Cookieハック」を使用しない場合)

IIS構成を示す画像

何か案は?

編集:明確にするために:失われるのはサーバー側のセッションではなく、「ASP.NET_SessionId」Cookieの有効期間のみであり、これは正しくありません。

EDIT2:いくつかの調査の後、ASP.NET_SessionIdCookieが実際に設定されるのはいつか疑問に思いました。(Firefoxを使用して)削除してページを更新すると(数回でも)、新しいページが表示されません...ここで何が起こっているのですか?

EDIT3:セッションに何かを入れると、セッションID Cookieが設定されることがわかったので、質問(EDIT2)はオフになっています。

4

1 に答える 1

0

セッション Cookie は、セキュリティ上の理由から、できるだけ早く期限切れになります。セッションハイジャックのために、その寿命を延ばすべきではありません。

「古いセッションを戻す」必要がある場合は、ASP.NET 認証を使用して、ユーザーがサイトに戻った後に新しいセッションを生成します。これにより、メモリが安全になり、全体的なセキュリティも向上します。

于 2012-08-28T17:58:33.660 に答える