Utilizzare la pagina di funzionalità Stato sessione per configurare il comportamento delle informazioni mantenute nelle diverse sessioni del browser.
Elenco degli elementi dell'interfaccia utente
Nelle tabelle seguenti sono descritti gli elementi dell'interfaccia utente disponibili nella pagina di funzionalità e nel riquadro Azioni.
Elementi della pagina di funzionalità
| Nome dell'elemento | Descrizione |
|---|
Non abilitato | Disabilita lo stato sessione. |
In corso | Archivia i dati dello stato sessione per un'applicazione di codice gestito nel processo di lavoro in cui viene eseguita l'applicazione. Questa è l'impostazione predefinita. |
Personalizzato | Configura IIS per utilizzare un provider personalizzato per la gestione dello stato sessione per le applicazioni ASP.NET. |
Server stato | Abilita il servizio stato Aspnet_state.exe di Windows e archivia lo stato sessione all'esterno del processo di lavoro in cui viene eseguita l'applicazione. Il vantaggio di questa configurazione è il mantenimento dello stato sessione quando il processo di lavoro dell'applicazione viene riciclato. L'utilizzo di un server stato è consigliabile per le applicazioni Web di medie dimensioni. Le impostazioni da configurare sono: - Stringa di connessione: imposta la stringa di connessione utilizzata per connettersi al server stato.
- Timeout (in secondi): imposta in secondi la durata di mantenimento della connessione. Il valore predefinito è 10 secondi.
 | Importante | | Perché funzioni, è necessario che il servizio stato di Windows (Aspnet_state.exe) sia in esecuzione per lo stato sessione out-of-process. Per impostazione predefinita, questo servizio viene installato insieme ad ASP.NET ed è configurato per l'avvio manuale. È necessario impostare la modalità di avvio su Automatico. |
|
SQL Server | Configura IIS per utilizzare un database SQL Server per l'archiviazione dei dati dello stato sessione anziché il processo di lavoro in cui viene eseguita l'applicazione. Il vantaggio di questa configurazione è il mantenimento dello stato sessione quando il processo di lavoro dell'applicazione viene riciclato o il servizio stato di Windows o il server Web diventa inattivo. Le impostazioni da configurare sono: - Stringa di connessione: imposta la stringa di connessione utilizzata per connettersi al server stato.
- Timeout (in secondi): imposta in secondi la durata di mantenimento della connessione. Il valore predefinito è 10 secondi.
| Importante | | Prima di configurare un server SQL Server per lo stato sessione, è necessario eseguire lo script InstallSqlState.sql nel server. Per impostazione predefinita, questo script è archiviato in systemroot\Microsoft.NET\Framework\V2.0.50727. |
|
Abilita database personalizzato | Abilita un database SQL Server personalizzato per l'archiviazione dei dati dello stato sessione. |
Modalità | Consente di definire la modalità di utilizzo dei cookie per l'archiviazione dei dati dello stato sessione. Le opzioni sono: - Rilevamento automatico: vengono utilizzati i cookie solo se il browser li supporta. Nei browser desktop di cui è noto il supporto di cookie, ASP.NET tenta di utilizzarli quando tale supporto è abilitato. Quando si utilizza la modalità cookie Rilevamento automatico, è consigliabile richiedere la rigenerazione degli ID sessione scaduti. In questo modo viene consentita a un server Web la rigenerazione dei token scaduti e viene ridotto il tempo a disposizione per eventuali attacchi mirati ad acquisire un cookie e a ottenere l'accesso al contenuto del server Web. È inoltre consigliabile impostare il timeout su un valore minore di quello predefinito di 20 minuti.
- Utilizza i cookie: associa le informazioni sulla sessione a quelle del client per la durata della connessione di un utente a un sito Web. I cookie vengono passati in un'intestazione HTTP insieme a tutte le richieste inviate tra un client e un server Web. L'utilizzo di cookie è il sistema più efficace per tenere traccia dello stato sessione, perché i cookie non richiedono alcun reindirizzamento. Inoltre, i cookie consentono di inserire segnalibri nelle pagine Web e di mantenere lo stato se si abbandona un sito per visitarne un altro per poi tornare al sito originale.
 | Nota | | È consigliabile impostare il timeout su un valore minore di quello predefinito di 20 minuti in modo da ridurre il tempo a disposizione per eventuali attacchi mirati ad acquisire un cookie e ottenere l'accesso al contenuto del sito Web. |
- Utilizza profilo del dispositivo: vengono utilizzati i cookie solo se il profilo del dispositivo li supporta. Se il profilo del dispositivo indica il supporto dei cookie, essi verranno utilizzati anche se l'utente ne ha disabilitato il supporto. Quando si utilizza la modalità cookie Utilizza profilo del dispositivo, è consigliabile richiedere la rigenerazione degli ID sessione scaduti. In questo modo viene consentita a un server Web la rigenerazione dei token scaduti e viene ridotto il tempo a disposizione per eventuali attacchi mirati ad acquisire un cookie e a ottenere l'accesso al contenuto del server Web. È inoltre consigliabile impostare il timeout su un valore minore di quello predefinito di 20 minuti.
- Utilizza URI: l'ID sessione viene incorporato come stringa di query nella richiesta URI (Uniform Resource Identifier), quindi l'URI viene reindirizzato all'URL richiesto originariamente. La richiesta URI modificata viene utilizzata per la durata della sessione. Pertanto, non sono necessari cookie. Quando si utilizza un URI, è consigliabile richiedere la rigenerazione degli ID sessione scaduti. In questo modo viene consentita a un server Web la rigenerazione dei token scaduti e viene ridotto il tempo a disposizione per eventuali attacchi mirati ad acquisire un cookie e a ottenere l'accesso al contenuto del server Web.
|
Nome | Consente di impostare un nome per il cookie. L'impostazione predefinita è ASP.NET_SessionID. |
Timeout (in minuti) | Consente di impostare la durata di permanenza di un cookie. Il valore predefinito è 20 minuti. |
Rigenera ID sessione scaduta | Richiede a IIS di rifiutare e rieseguire gli ID sessione cui non corrispondono sessioni attive nel database. Per impostazione predefinita, questa funzionalità è supportata solo per gli ID sessione senza cookie, ma può essere estesa per la gestione degli ID sessione cookie/arbitrari mediante l'implementazione di una gestione ID sessione personalizzata. |
Utilizza identità host per rappresentazione | Abilita l'autenticazione di Windows e l'identità del processo host (ASP.NET o un'identità di servizio Windows) per le connessioni remote. |
Elementi del riquadro Azioni
| Nome dell'elemento | Descrizione |
|---|
Applica | Consente di salvare le modifiche apportate nella pagina di funzionalità. |
Annulla | Consente di annullare le modifiche apportate nella pagina di funzionalità. |
Vedere anche