| Nome do elemento | Descrição |
|---|
Não habilitado | Desabilita o estado da sessão. |
Em processo | Armazena os dados do estado da sessão de um aplicativo de código gerenciado no processo de trabalho em que o aplicativo é executado. Trata-se da configuração padrão. |
Personalizado | Configura o IIS para usar um provedor personalizado a fim de manipular o estado da sessão de aplicativos ASP.NET. |
Servidor do Estado | Habilita o serviço de estado do Windows Aspnet_state.exe e armazena o estado da sessão fora do processo de trabalho em que o aplicativo é executado. A vantagem da configuração é que o estado da sessão é preservado durante a reciclagem do processo de trabalho do aplicativo. Usar um servidor de estado é recomendável para aplicativos Web de médio porte. As configurações necessárias são: - Cadeia de conexão - define a cadeia de conexão usada na conexão com o servidor de estado.
- Tempo limite de conexão (em segundos) - define o tempo, em segundos, em que a conexão será mantida. O padrão é 10 segundos.
 | Importante | | O serviço de estado do Windows (Aspnet_state.exe) deve estar em execução para que o estado da sessão fora do processo tenha efeito. Por padrão, o serviço é instalado durante a instalação do ASP.NET e é configurado para inicialização manual. Você deve alterar o comportamento de inicialização para Automático. |
|
SQL Server | Configura o IIS para usar um banco de dados do SQL Server para armazenar dados de estado da sessão, e não armazená-los no processo de trabalho em que o aplicativo é executado. A vantagem da configuração é que o estado da sessão é preservado durante a reciclagem do processo de trabalho do aplicativo ou caso o serviço de estado do Windows ou o servidor Web seja desativado. As configurações necessárias são: - Cadeia de conexão - define a cadeia de conexão usada na conexão com o servidor de estado.
- Tempo limite de conexão (em segundos) - define o tempo, em segundos, em que a conexão será mantida. O padrão é 10 segundos.
| Importante | | Antes de configurar um SQL Server para o estado da sessão, você deve executar o script InstallSqlState.sql no servidor. Por padrão, esse script é armazenado em raiz_do_sistema\Microsoft.NET\Framework\V2.0.50727. |
|
Habilitar banco de dados personalizado | Habilita um banco de dados personalizado do SQL Server para o armazenamento dos dados de estado da sessão. |
Modo | Define como os cookies são usados no armazenamento dos dados de estado da sessão. As opções são: - Detecção Automática - usa cookies caso o navegador ofereça suporte a cookies; do contrário, os cookies não são usados. Para navegadores desktop com suporte a cookies, o ASP.NET tenta usar cookies quando o suporte está habilitado no navegador. Ao usar o modo Detecção automática de cookie, você deve exigir que as identificações da sessão vencida sejam geradas novamente. Fazer isso permite que um servidor Web expire e gere tokens novamente, o que fornece a um possível invasor menos tempo para capturar um cookie e ter acesso ao conteúdo do servidor Web. Você deve alterar o valor do tempo limite para um valor padrão inferior a 20 minutos.
- Usar Cookies - associa informações sobre a sessão às informações sobre o cliente durante a conexão de um usuário com um site. Os cookies são passados juntos com todas as solicitações entre um cliente e um servidor Web em um cabeçalho HTTP. Usar cookies é uma forma mais eficiente de acompanhar o estado da sessão do que todos os métodos que não usam cookies, uma vez que os cookies não exigem nenhum redirecionamento. Além disso, os cookies permitem que os usuários adicionem páginas da Web aos favoritos e mantenham o estado caso o usuário deixe um site para visitar outro e retorne ao site original.
 | Observação | | Você deve alterar o valor do tempo limite para um valor padrão inferior a 20 minutos para que um possível invasor tenha menos tempo para capturar um cookie e obter acesso ao conteúdo do site. |
- Usar Perfil do Dispositivo - usa cookies caso o perfil do dispositivo ofereça suporte a cookies; do contrário, os cookies não são usados. Se o perfil do dispositivo indicar suporte a cookies, eles serão usados independentemente do usuário ter desabilitado ou não o suporte a cookies. Ao usar o modo Usar perfil do dispositivo, você deve exigir que as identificações da sessão vencida sejam geradas novamente. Fazer isso permite que um servidor Web expire e gere tokens novamente, o que fornece a um possível invasor menos tempo para capturar um cookie e ter acesso ao conteúdo do servidor Web. Você deve alterar o valor do tempo limite para um valor padrão inferior a 20 minutos.
- Usar URI - incorpora a identificação da sessão como uma cadeia de consulta na solicitação de URI (Uniform Resource Identifier), e o URI é redirecionado para a URL solicitada originalmente. Como a solicitação de URI alterado é usada durante a sessão, não é necessário nenhum cookie. Ao usar um URI, você deve exigir que as identificações da sessão expirada sejam geradas novamente. Fazer isso permite que um servidor Web expire e gere tokens novamente, o que fornece a um possível invasor menos tempo para capturar um cookie e ter acesso ao conteúdo do servidor Web.
|
Nome | Digite um nome para o cookie. O padrão é ASP.NET_SessionID. |
Limite de tempo (em minutos) | Define o tempo, em minutos, que um cookie persistirá. O padrão é 20 minutos. |
Gerar novamente a Identificação de seção expirada | Informa ao IIS para rejeitar e emitir novamente IDs de sessão que não tenham sessões correspondentes ativas no banco de dados. Por padrão, o recurso tem suporte apenas para IDs de sessão sem cookie, embora possa ser estendido para poder gerenciar IDs de sessão arbitrária/cookie, implementando um gerenciador de IDs de sessão personalizado. |
Usar identidade de hospedagem para representação | Habilita a autenticação do Windows e a identidade do processo de host (ASP.NET ou uma identidade de serviço do Windows) para conexões remotas. |