Имя элемента |
Описание |
Выключено
|
Отключает состояние сеанса.
|
В процессе
|
Сохраняет данные состояния сеанса для приложения с управляемым
кодом в рабочем процессе, в котором выполняется приложение. Этот
параметр установлен по умолчанию.
|
Настроить
|
Производит настройку IIS на использование настраиваемого
поставщика для обработки состояния сеанса для приложений
ASP.NET.
|
Сервер состояний
|
Включает службу состояния Windows Aspnet_state.exe и сохраняет
состояние сеанса вне рабочего процесса, в котором выполняется
приложение. Преимуществом этой настройки является то, что при
повторном запуске рабочего процесса приложения состояние сеанса
сохраняется. Использование сервера состояний рекомендуется для
веб-приложений среднего размера. Для настройки используются
следующие установки.
- Строка подключения – устанавливает
строку подключения, используемую для подключения к серверу
состояний.
- Тайм-аут (в секундах) – устанавливает
время в секундах, в течение которого будет сохраняться подключение.
Значение по умолчанию 10 секунд.
|
Важно! |
|
Чтобы состояние сеанса вне процесса вступило в силу, должна
выполняться служба состояния Windows (Aspnet_state.exe). По
умолчанию эта служба устанавливается при установке ASP.NET и
настраивается для ручного запуска. Политика запуска должна быть
изменена на автоматическую.
|
|
SQL Server
|
Производит настройку IIS на использование базы данных SQL Server
для сохранения данных состояния сеанса вместо того, чтобы сохранять
эти данные в рабочем процессе, в котором выполняется приложение.
Преимуществом такой настройки является то, что при повторном
запуске рабочего процесса или при неполадках службы состояния
Windows или веб-сервера состояние сеанса сохраняется. Для настройки
используются следующие установки.
- Строка подключения – устанавливает
строку подключения, используемую для подключения к серверу
состояний.
- Тайм-аут (в секундах) – устанавливает
время в секундах, в течение которого будет сохраняться подключение.
Значение по умолчанию 10 секунд.
|
Важно! |
|
Перед настройкой сервера SQL Server для состояния сеанса на
сервере необходимо выполнить сценарий InstallSqlState.sql. По
умолчанию этот сценарий хранится в папке
systemroot\Microsoft.NET\Framework\V2.0.50727.
|
|
Включить настраиваемую базу данных
|
Включается специальная база данных сервера SQL Server для
хранения данных состояния сеанса.
|
Режим
|
Определяет, как файлы cookies используются для хранения данных
состояния сеанса. Варианты:
- Автовыбор – файлы cookies
используются, если браузер поддерживает файлы cookies; в противном
случае эти файлы не используются. Для известных браузеров
настольных компьютеров, поддерживающих файлы cookie, ASP.NET
пытается использовать эти файлы, если в браузере включена поддержка
файлов cookies. При использовании режима использования файлов
cookies (автовыбор) необходимо, чтобы повторно формировались
идентификаторы сеансов с закончившимся сроком действия. Это
позволяет завершить работу веб-сервера и повторно сформировать
токены, благодаря чему потенциальным злоумышленникам остается
меньше времени для перехвата файлов cookies и получения доступа к
содержимому веб-сервера. Необходимо также подумать о сокращении
времени ожидания до значений, меньших значения по умолчанию,
равного 20 минутам.
- Использовать файлы cookie – данные
сеанса связываются с данными клиента на время подключения
пользователя к веб-сайту. Файлы cookies передаются вместе со всеми
запросами, проводимыми между клиентом и веб-сервером в заголовке
HTTP. Использование файлов cookies является более эффективным
способом отслеживания состояния сеанса, чем все остальные методы,
не использующие эти файлы, т.к. для файлов cookies нет
необходимости в каком-либо перенаправлении. Кроме того, файлы
cookies позволяют пользователям делать закладки на веб-страницах, и
они сохраняют состояние, если пользователь покидает один сайт и
переходит на другой, а затем возвращается на первоначальный
сайт.
|
Примечание |
|
Необходимо подумать о сокращении времени ожидания до значений,
меньших значения по умолчанию, равного 20 минутам, чтобы
потенциальные злоумышленники имели меньше времени для перехвата
файлов cookies и получения доступа к содержимому веб-сервера.
|
- Использовать профиль устройства –
используются файлы cookies, если профиль устройства поддерживает
эти файлы; в противном случае файлы cookies не используются. Если в
профиле устройства предусмотрена поддержка файлов cookies, эти
файлы используются, даже если пользователь отключил поддержку
файлов cookies. При использовании режима "Использовать профиль
устройства" необходимо, чтобы повторно формировались идентификаторы
сеансов с закончившимся сроком действия. Это позволяет завершить
работу веб-сервера и повторно сформировать токены, благодаря чему
потенциальным злоумышленникам остается меньше времени для перехвата
файлов cookies и получения доступа к содержимому веб-сервера.
Необходимо также подумать о сокращении времени ожидания до
значений, меньших значения по умолчанию, равного 20 минутам.
- Использование URI – идентификатор
сеанса вставляется в качестве строки запроса в запрос
универсального идентификатора ресурса (URI), а затем URI
перенаправляется по изначально запрашиваемому URL-адресу.
Измененный запрос URI используется на время выполнения сеанса,
поэтому файлы cookies не нужны. Если используется URI, необходимо,
чтобы повторно формировались идентификаторы сеансов с закончившимся
сроком выполнения. Это позволяет завершить работу веб-сервера и
повторно сформировать токены, благодаря чему потенциальным
злоумышленникам остается меньше времени для перехвата файлов
cookies и получения доступа к содержимому веб-сервера.
|
Имя
|
Устанавливает имя файла cookies. Имя по умолчанию
ASP.NET_SessionID.
|
Тайм-аут (в минутах)
|
Устанавливается время (в минутах) сохранения файла cookies.
Время по умолчанию равно 20 минутам.
|
Повторно формировать идентификатор сеанса с истекшим сроком
выполнения
|
Указывает, что IIS должен отвергать и вновь формировать
идентификаторы сеансов, не имеющие соответствующих сеансов,
активных в базе данных. По умолчанию эта возможность поддерживается
только для идентификаторов сеансов, не использующих файлы cookies,
но при помощи реализации специального диспетчера идентификаторов
сеансов она может быть распространена для управления
идентификаторами произвольных сеансов, использующих эти файлы.
|
Использование удостоверения основного процесса для
олицетворения
|
Включает проверку подлинности Windows и удостоверение основного
процесса (удостоверение ASP.NET или службы Windows) для удаленных
подключений.
|