0

フォーム認証を使用する asp.net 4.0 Web ページがあります。すべて正常に動作しますが、asp.net が自動的にこれを行うと思われるかどうかはわかりませんが、ログイン後にブラウザを閉じると、再度開いたときに認証されたページに移動します。ブラウザが閉じたときにセッションを破棄すべきではありませんか? そうでない場合、セッションまたは同様のものを強制終了することにより、これに対するセキュリティを提供する最良の方法は何ですか?

4

1 に答える 1

3

ASP.NETセッションは、ブラウザーを閉じるだけでは終了しません。ASP.NETは、ブラウザーにCookieを書き込むことによってセッションIDを維持します(Cookieなしのセッションに設定していない場合)。デフォルトでは、セッションは20分のタイムアウトに設定されています。これは、一般に、そのCookieの期間中、そのブラウザでセッションを利用できることを意味します。

セキュリティ対策として、サイトに何らかのログアウト機能を提供することが可能です。その後、 Session.Abandonを呼び出して、セッションを強制終了する可能性があります。

于 2013-02-06T18:34:03.940 に答える