作者liaommx (Orz)
看板C_Sharp
標題[問題] asp.net session與cookie時效問題?
時間Thu Apr 15 21:29:32 2021
目前在使用session上碰到一些問題.
環境是iis(版本不確定) c# asp.net寫的
使用者登入登出其實都沒問題,
可是如果是使用fiddler做代理.
點了登出把session 做了abandon,removeall,
也做了cookie 清空asp.net_sessionid
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId",""))
此時把當初fiddler記錄到的request做replay,
iis server還是會回應相對應的cache.
導致只要能監聽到相對應的封包,就可以取得server同樣的回應.
如果replay時也要把回應的這些cache都不回應的話,
應該從code本身的登入機制著手呢?
還是該往iis server設定的方向去著手?(例如header no-cache等等的方法)
不知道大家有沒有什麼想法可以建議呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.125.145 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/C_Sharp/M.1618493374.A.0D6.html
1F:推 EnjoyLife000: 可能要先弄清楚session實際的運作機制,根據內文上 04/21 12:22
2F:→ EnjoyLife000: 來看,你的方向是錯誤的 04/21 12:22
3F:→ ssccg: Session.Abandon、RemoveAll應該都只是清掉session存的東西 04/22 15:19
4F:→ ssccg: Cookie是給正常的那個client指示,你用另一個client去repla 04/22 15:21
5F:→ ssccg: y那就跟Cookie怎麼設沒關係,要擋這個需要的是server-side 04/22 15:22
6F:→ ssccg: 要invalidate SessionId→登入狀態這個關係 04/22 15:23
7F:→ ssccg: 其實一般的Web framework都會在lougout時自己處理這個,但 04/22 15:26
8F:→ ssccg: ASP.NET就是不會,SessionId一發出去就要到期才失效 04/22 15:26
9F:→ ssccg: 要解決這問題就是你自己要多實作一個記錄登入狀態的機制 04/22 15:27
10F:→ ssccg: 每個request來你要多檢查你自己管理的狀態是不是已登出 04/22 15:29
11F:→ ssccg: 這問題10幾年來就是沒修,應該可以找到很多解法... 04/22 15:34
12F:→ liaommx: 感謝以上兩位提供意見,最後還是在session logout時 04/23 07:11
13F:→ liaommx: 紀錄session id,然後做判讀,若有相同session來就redirect 04/23 07:11