使用 [工作階段狀態] 功能頁,可設定跨瀏覽器工作階段維護的資訊行為。
UI 元素清單
下列表格描述功能頁和 [動作] 窗格中可用的 UI 元素。
功能頁元素
| 元素名稱 | 描述 |
|---|
未啟用 | 停用工作階段狀態。 |
處理中 | 將 Managed 程式碼應用程式的工作階段狀態資料,儲存在執行應用程式的工作者處理序中。 這是預設設定。 |
自訂 | 將 IIS 設定為使用自訂提供者來處理 ASP.NET 應用程式的工作階段狀態。 |
狀態伺服器 | 啟用 Windows Aspnet_state.exe 狀態服務,並儲存執行應用程式之工作者處理序之外的工作階段狀態。 該設定的優點是,會在回收應用程式的工作者處理序時,保存工作階段狀態。 建議針對中等大小的 Web 應用程式使用狀態伺服器。 要設定的內容如下: - 連接字串 - 設定用來連線到狀態伺服器的連接字串。
- 逾時 (秒) - 以秒為單位設定要保持連線的時間。 預設值為 10 秒。
 | 重要 | | 處理序之外的工作階段狀態必須要有執行中的 Windows 狀態服務 (Aspnet_state.exe),才會生效。 根據預設,會在安裝 ASP.NET 並設定為手動啟動時,安裝該服務。 您必須將啟動行為變更為自動。 |
|
SQL Server | 將 IIS 設定為使用 SQL Server 資料庫來儲存工作階段狀態資料,而不是將該資料儲存在執行應用程式的工作者處理序中。 該設定的優點是,會在回收應用程式的工作者處理序時,或 Windows 狀態服務或網頁伺服器當機時,保存工作階段狀態。 要設定的內容如下: - 連接字串 - 設定用來連線到狀態伺服器的連接字串。
- 逾時 (秒) - 以秒為單位設定要保持連線的時間。 預設值為 10 秒。
| 重要 | | 在您為工作階段狀態設定 SQL Server 之前,必須在伺服器上執行 InstallSqlState.sql 指令碼。 根據預設,此指令碼會存放在 systemroot\Microsoft.NET\Framework\V2.0.50727。 |
|
啟用自訂資料庫 | 啟用自訂 SQL Server 資料庫來儲存工作階段狀態資料。 |
模式 | 定義使用 Cookie 來儲存工作階段狀態資料的方式。 以下是其選項: - 自動偵測 - 如果瀏覽器支援 Cookie,則使用 Cookie;否則,不使用 Cookie。 對於已知支援 Cookie 的桌面瀏覽器,ASP.NET 會在瀏覽器中啟用 Cookie 支援時,嘗試使用 Cookie。 當您使用 [自動偵測] Cookie 模式時,應該要求重新產生過期的工作階段識別碼。 這樣做可讓網頁伺服器過期並重新產生權杖,縮短潛在攻擊者擷取 Cookie 以及取得網頁伺服器內容存取權的時間。 您也應該考慮將逾時值變更為少於預設的 20 分鐘。
- 使用 Cookie - 在使用者連線到網站期間,建立工作階段資訊與用戶端資訊間的關聯。 Cookie 會與 HTTP 標頭中用戶端與網頁伺服器之間的所有要求一起傳送。 相較於任何其他不使用 Cookie 的方法,使用 Cookie 來追蹤工作階段狀態更有效率,因為 Cookie 不會要求任何重新導向。 此外,Cookie 可讓使用者將網頁加入書籤,當使用者離開一個站台去造訪另一個站台,然後又返回原來的站台時,會保留狀態。
 | 附註 | | 您應該考慮將逾時值變更為少於預設的 20 分鐘,縮短潛在攻擊者擷取 Cookie 以及取得網站內容存取權的時間。 |
- 使用裝置設定檔 - 如果裝置設定檔支援 Cookie,則使用 Cookie;否則,不使用 Cookie。 如果裝置設定檔表示支援 Cookie,則不論使用者是否已停用 Cookie 支援,都會使用 Cookie。 當您使用 [使用裝置設定檔] Cookie 模式時,您應該要求重新產生過期的工作階段識別碼。 這樣做可讓網頁伺服器過期並重新產生權杖,縮短潛在攻擊者擷取 Cookie 以及取得網頁伺服器內容存取權的時間。 您也應該考慮將逾時值變更為少於預設的 20 分鐘。
- 使用 URI - 將工作階段識別碼內嵌為統一資源識別項 (URI) 要求中的查詢字串,然後將 URI 重新導向到原本要求的 URL。 變更的 URI 要求會用在工作階段期間使用,因此不需要任何 Cookie。 當您使用 URI 時,應該要求重新產生過期的工作階段識別碼。 這樣做可讓網頁伺服器過期並重新產生權杖,縮短潛在攻擊者擷取 Cookie 以及取得網頁伺服器內容存取權的時間。
|
名稱 | 設定 Cookie 的名稱。 預設值為 ASP.NET_SessionID。 |
逾時 (分鐘) | 以分鐘為單位設定保存 Cookie 的時間。 預設值為 20 分鐘。 |
重新產生過期的工作階段識別碼 | 告訴 IIS 要拒絕和重新發出在資料庫中沒有作用中相對應工作階段的工作階段識別碼。 根據預設,只有針對沒有 Cookie 的工作階段識別碼才支援該功能,但藉由執行自訂的工作階段識別碼管理員,可以擴充該功能來管理 Cookie/任意工作階段識別碼。 |
使用主控識別進行模擬 | 啟用 Windows 驗證,以及遠端連線的主控處理程序識別 (ASP.NET 或 Windows 服務識別)。 |
動作窗格元素
| 元素名稱 | 描述 |
|---|
套用 | 儲存您在功能頁上所做的變更。 |
取消 | 取消您在功能頁上所做的變更。 |
請參閱