| Elementnavn | Beskrivelse |
|---|
Ikke aktiveret | Deaktiverer sessionstilstand. |
I gang | Lagrer sessionstilstandsdata for et program med administreret kode i arbejdsprocessen, hvor programmet kører. Dette er standardindstillingen. |
Brugerdefineret | Konfigurerer IIS til at bruge en brugerdefineret udbyder til at håndtere sessionstilstand for ASP.NET-programmer. |
Tilstandsserver | Aktiverer tilstandstjenesten Windows Aspnet_state.exe og lagrer sessionstilstand udenfor arbejdsprocessen, hvor programmet kører. Fordelen ved denne konfiguration er, at sessionstilstanden bevares, når programmets arbejdsproces genbruges. Det anbefales at bruge en tilstandsserver for mellemstore webprogrammer. Indstillingerne, der skal indstilles, er: - Forbindelsesstreng – indstiller den forbindelsesstreng, der bruges til at oprette forbindelse til tilstandsserveren.
- Timeout (i sekunder) – indstiller den tid, i sekunder, som tilslutningen opretholdes. Standarden er 10 sekunder.
 | Vigtigt! | | Windows-tilstandstjenesten (Aspnet_state.exe) skal køre, for at eksterne sessionstilstande kan træde i kraft. Som standard installeres denne tjeneste når ASP.NET installeres og konfigureres til manuel start. Du skal ændre startfunktionen til Automatisk. |
|
SQL-server | Konfigurerer IIS til at bruge en SQL Server-database til at lagre sessionstilstandsdata i stedet for at lagre dem i arbejdsprocessen, hvor programmet kører. Fordelen ved denne konfiguration er, at sessionstilstand bevares, når programmets arbejdsproces genbruges, eller hvis enten Windows-tilstandstjenesten eller webserveren går ned. Indstillingerne, der skal indstilles, er: - Forbindelsesstreng – indstiller den forbindelsesstreng, der bruges til at oprette forbindelse til tilstandsserveren.
- Timeout (i sekunder) – indstiller den tid, i sekunder, som tilslutningen opretholdes. Standarden er 10 sekunder.
| Vigtigt! | | Inden du konfigurerer en SQL Server til sessionstilstand, skal du køre scriptet InstallSqlState.sql på serveren. Dette script lagres som standard i systemroot\Microsoft.NET\Framework\V2.0.50727. |
|
Aktiver brugerdefineret database | Aktiverer en brugerdefineret SQL Server-database til lagring af sessionstilstandsdata. |
Tilstand | Definerer, hvordan cookies anvendes til at lagre sessionstilstandsdata. Indstillingerne er: - Automatisk identifikation – bruger cookies, hvis browseren understøtter cookies; ellers bruges cookies ikke. For browsere, der er kendt for at understøtte cookies, prøver ASP.NET at bruge cookies, når understøttelse af cookies er aktiveret i browseren. Når du bruger cookie-tilstanden Automatisk identifikation, skal du kræve, at udløbne sessions-id'er regenereres. Ved at gøre dette, kan en webserver lade tokens udløbe og regenerere, hvilket giver en potentiel angriber mindre tid til at hente en cookie og få adgang til webserverens indhold. Du bør også overveje at ændre timeoutværdien til mindre end standarden 20 minutter.
- Brug cookies – knytter sessionsoplysninger til klientoplysninger under varigheden af en brugers tilslutning til et websted. Cookies videresendes sammen med alle anmodninger mellem en klient og en webserver i en HTTP-header. Brug af cookies er en mere effektiv måde at spore sessionstilstand på end nogen anden af de metoder, der ikke bruger cookies, fordi cookies ikke kræver omdirigering. Endvidere gør cookies det muligt for brugere at lægge bogmærker på websider, og de bevarer tilstand, hvis en bruger forlader et sted for at besøge et andet og derefter vender tilbage til det oprindelige sted.
 | Bemærk! | | Du bør også overveje at ændre timeoutværdien til mindre end standarden 20 minutter, så en potentiel angriber får mindre tid til at hente en cookie og få adgang til webstedets indhold. |
- Brug enhedsprofil – bruger cookies, hvis enhedsprofilen understøtter cookies; ellers bruges cookies ikke. Hvis enhedsprofilen indikerer understøttelse af cookies, vil de blive brugt, uanset om brugeren har deaktiveret cookieunderstøttelse. Når du bruger cookietilstanden Brug enhedsprofil, skal du kræve, at udløbne sessions-id'er regenereres. Ved at gøre dette, kan en webserver lade tokens udløbe og regenerere, hvilket giver en potentiel angriber mindre tid til at hente en cookie og få adgang til webserverens indhold. Du bør også overveje at ændre timeoutværdien til mindre end standarden 20 minutter.
- Brug URI – integrerer session-id som en forespørgselsstreng i URI-anmodningen (Uniform Resource Identifier), og URI'en omdirigeres herefter til den oprindelige URL-adresse. Den ændrede URI-anmodning bruges under sessionens varighed, så der behøves ingen cookie. Når du bruger en URL-adresse, skal du kræve, at udløbne sessions-id'er regenereres. Ved at gøre dette, kan en webserver lade tokens udløbe og regenerere, hvilket giver en potentiel angriber mindre tid til at hente en cookie og få adgang til webserverens indhold.
|
Navn | Indstiller et navn til cookien. Standarden er ASP.NET_SessionID. |
Timeout (i minutter) | Indstiller den tid, i minutter, som en cookie er vedholdende. Standarden er 20 minutter. |
Regenerer udløbet sessions-id | Beder IIS om at afvise og genudgive sessions-id'er, der ikke har tilsvarende sessions aktive i databasen. Som standard er denne funktion kun understøttet for cookieløse sessions-id'er, men denne funktion kan udvides for at administrere cookie/vilkårlige session-id'er ved at implementere en brugerdefineret sessions-id-styring. |
Brug værtsidentitet til repræsentation | Aktiverer Windows-godkendelse og værtsprocesidentiteten (enten ASP.NET eller en Windows-tjenesteidentitet) for fjerntilslutninger. |