Visual Studio 2015和IIS Express在每个请求上续订会话ID
[英]Visual Studio 2015 and IIS Express Renews Session ID on Each Request
问题描述
我的WebForms项目遇到问题,即每次请求都更新会话ID。 在我的标准IIS上不会发生此问题,因此我得出结论,这是我的开发设置中的本地问题。
为了进行测试,我只是使用以下代码创建了一个.aspx页面:
<%: HttpContext.Current.Session.SessionID %>
如前所述,当我在本地运行Visual Studio 2015和IIS Express刷新此页面时,每个请求都会获得一个新的会话ID。 (调试,检查会话内容以及所有这些都不会产生相同的结果。)
您认为这是怎么回事?
(我已经看到声称浏览器链接功能可能会导致类似的问题。我不知道怎么可能,但尽管如此,还是尝试禁用它,重新启动Visual Studio,但无济于事。)
2 个解决方案
解决方案1
1 已采纳 2016-08-23 08:58:00
这次我将回答自己的问题:
当进一步检查会话cookie为什么不“粘贴”的原因时,检查响应头时,我突然意识到,由于某种原因,服务器试图将会话cookie设置为“安全”:
Set-Cookie:ASP.NET_SessionId=lgkbje1igeprk3u53dsfbvtg; path=/; secure; HttpOnly
尽管这本身并不是一件坏事,但在我的开发设置中却出乎意料。 我没有通过https运行请求,因此会话cookie被删除。
在这种情况下,罪魁祸首是在web.config找到的:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
这一切都让我有些尴尬,但是我认为这可能对将来的某人有所帮助,这是因为意识到观察到的行为(每个请求都带有新会话)可能来自尝试将会话cookie设置为“安全”而没有安全连接,即https 。
[EDIT]回应评论中有关不同环境的理想设置的问题:
我认为您不能说本地,测试或暂存环境有一个“理想”的设置,因为这完全取决于您对每种环境的需求。
谈论生产环境的“理想”设置或您所说的“实时”设置可能不太随意。 对于ASP.NET,我个人将始终使用:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
为了扩展一般的安全性,我还要确保已设置HSTS HTTP标头。 同样,实现此目标的确切方法取决于您的上下文,例如您所使用的平台等。在较旧的ASP.NET应用程序中,没有AFAIK的更好方法,我将在Global.asax放入以下内容:
protected void Application_BeginRequest(Object sender, EventArgs e) {
if(Request.IsLocal)
return;
switch (Request.Url.Scheme) {
case "https":
Response.AddHeader("Strict-Transport-Security", "max-age=300");
break;
case "http":
var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
break;
}
}
当然,还有其他与安全性相关的HTTP标头,以及应更改应用程序和Web服务器的默认配置以不显示的其他信息。 以下是有关此主题的一些链接:
- OWASP安全标头项目
- 嘘...不要让您的响应标题大声说话 -Troy Hunt
此外,我将查看machine.config并进行设置:
<deployment retail="true" />
此设置应确保关闭调试模式并打开自定义错误,因此您不会意外泄漏堆栈跟踪等内容。 以下是有关该主题的博客-另一个不错的Troy Hunt文章,就像上面链接的那篇文章-年代久远,但仍然很相关:
解决方案2
1 2017-06-28 10:19:03
解决了将此值添加到web.config
<sessionState cookieless="UseCookies" cookieName="AppNameSession"></sessionState>
在Visual Studio 2015中使用IIS服务器而不是IIS Express
[英]Using IIS Server instead of IIS Express in Visual Studio 2015
Visual Studio 2015和IIS Express会获得ERR_CONNECTION_REFUSED
[英]Visual Studio 2015 and IIS Express get ERR_CONNECTION_REFUSED
如何在使用 IIS Express 在 Visual Studio 2015 中进行调试时从 CAC 获取 Request.ServerVariables(“CERT_SUBJECT”)
[英]How to obtain Request.ServerVariables(“CERT_SUBJECT”) from a CAC while debugging in Visual Studio 2015 with IIS Express
Visual Studio可以在新的调试会话中重新启动IIS Express吗?
[英]Can Visual Studio restart IIS Express on new debugging session?
是否可以在Visual Studio 2015的其他端口中发布asp.net Web API? IIS不是IIS Express
[英]Is it possible to publish asp.net web api in a different port in Visual Studio 2015 ? IIS not IIS Express
使用IIS(非Express)将Visual Studio 2013(或2015)JS调试器附加到浏览器
[英]Attach Visual Studio 2013 (or 2015) JS debugger to browser using IIS (not Express)
Visual Studio 2015社区版本无法在IIS Express中创建虚拟目录
[英]Visual Studio 2015 Community Version Fails to Create Virtual Directory in IIS Express
在Visual Studio 2015中保存* .cs或* .cshtml文件后,IIS Express停止
[英]IIS Express stops after saving *.cs or *.cshtml file in Visual Studio 2015
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Visual Studio 2015 IIS Express 500错误
在Visual Studio 2015中使用IIS服务器而不是IIS Express
无法启动IIS表达错误Visual Studio 2015
Visual Studio 2015和IIS Express会获得ERR_CONNECTION_REFUSED
如何在使用 IIS Express 在 Visual Studio 2015 中进行调试时从 CAC 获取 Request.ServerVariables(“CERT_SUBJECT”)
Visual Studio可以在新的调试会话中重新启动IIS Express吗?
是否可以在Visual Studio 2015的其他端口中发布asp.net Web API? IIS不是IIS Express
使用IIS(非Express)将Visual Studio 2013(或2015)JS调试器附加到浏览器
Visual Studio 2015社区版本无法在IIS Express中创建虚拟目录
在Visual Studio 2015中保存* .cs或* .cshtml文件后,IIS Express停止
相关标签