我有一个在IIS7下运行的ASP.NET MVC应用程序。它使用默认的进程内会话管理,根据我读到的所有内容,在应用程序池回收后应该丢失用户的会话。 它似乎并没有失去它。即使IIS重置也不会丢失会话。 IIS7中有什么变化可以使会话保持活动状态吗?
答案 0 :(得分:2)
这是由于cookie重放 - 会发生的情况是您的浏览器发送带有旧身份验证票证的cookie,该身份验证票据被接受为新会话,因为Web服务器不存储有效且过期的身份验证票据以供稍后进行比较。如果恶意用户获得有效的表单身份验证cookie,这会使您的站点容易受到重播攻击。要在使用表单身份验证cookie时提高安全性,请参阅以下MSDN链接:
http://msdn.microsoft.com/en-us/library/system.web.security.formsauthentication.signout.aspx