Nom de l'élément | Description |
---|
Non activé | Désactive l'état de session. |
Dans le processus | Stocke les données d'état de session pour une application de code managé dans le processus de travail où l'application s'exécute. Il s'agit du paramètre par défaut. |
Personnaliser | Configure IIS pour utiliser un fournisseur personnalisé pour gérer l'état de session pour les applications ASP.NET. |
Serveur d'état | Active le service d'état Aspnet_state.exe Windows et stocke l'état de session à l'extérieur du processus de travail où l'application s'exécute. L'avantage de cette configuration est que cet état de session est conservé lorsque le processus de travail de l'application est recyclé. L'utilisation d'un serveur d'état est recommandée pour les applications Web de taille moyenne. Les paramètres à configurer sont : - Chaîne de connexion : définit la chaîne de connexion qui est utilisée pour se connecter au serveur d'état.
- Délai d'attente (en secondes) : définit la durée, en secondes, pendant laquelle la connexion sera maintenue. La valeur par défaut est 10 secondes.
| Important | | Le service d'état Windows (Aspnet_state.exe) doit être en cours d'exécution pour que l'état de session out-of-process entre en vigueur. Par défaut, ce service est installé lorsqu'ASP.NET est installé et configuré pour un démarrage manuel. Vous devez remplacer le comportement de démarrage par Automatique. |
|
Serveur SQL | Configure IIS pour utiliser une base de données SQL Server pour stocker des données d'état de session au lieu de les stocker dans le processus de travail où l'application s'exécute. L'avantage de cette configuration est que cet état de session est conservé lorsque le processus de travail de l'application est recyclé, ou si le service d'état Windows ou le serveur Web a une défaillance. Les paramètres à configurer sont : - Chaîne de connexion : définit la chaîne de connexion qui est utilisée pour se connecter au serveur d'état.
- Délai d'attente (en secondes) : définit la durée, en secondes, pendant laquelle la connexion sera maintenue. La valeur par défaut est 10 secondes.
| Important | | Avant de configurer SQL Server pour l'état de session, vous devez exécuter le script InstallSqlState.sql sur le serveur. Par défaut, ce script est stocké dans racine_système\Microsoft.NET\Framework\V2.0.50727. |
|
Activer la base de données personnalisée | Active une base de données SQL Server personnalisée pour stocker les données d'état de session. |
Mode | Définit la façon dont les cookies sont utilisés pour stocker les données d'état de session. Les options sont : - Détection automatique : utilise des cookies si le navigateur les prend en charge ; sinon, aucun cookie n'est utilisé. Pour les navigateurs de bureau qui sont connus pour prendre en charge les cookies, ASP.NET essaie de les utiliser lorsque la prise en charge des cookies est activée dans le navigateur. Lorsque vous utilisez le mode de cookie Détection automatique, vous devez exiger la régénération des ID de session qui ont expiré. Vous permettez ainsi à un serveur Web d'expirer et de régénérer des jetons, ce qui donne moins de temps à un intrus potentiel pour capturer un cookie et accéder au contenu du serveur Web. Vous devez également envisager d'affecter au délai d'expiration une valeur inférieure à la valeur par défaut de 20 minutes.
- Utiliser les cookies : associe les informations sur la session aux informations sur le client pour la durée de la connexion d'un utilisateur à un site Web. Les cookies sont transmis avec toutes les demandes entre un client et un serveur Web dans un en-tête HTTP. L'utilisation de cookies est une façon de suivre l'état de session plus efficace qu'en faisant appel à des méthodes qui n'utilisent pas de cookies, car les cookies ne nécessitent pas de redirection. En outre, les cookies permettent aux utilisateurs d'insérer un signet dans des pages Web et conservent l'état si un utilisateur quitte un site pour en visiter un autre, puis revient au site d'origine.
| Remarques | | Vous devez envisager d'affecter au délai d'expiration une valeur inférieure à la valeur par défaut de 20 minutes, ce qui donne moins de temps à un intrus potentiel pour capturer un cookie et accéder au contenu du site Web. |
- Utiliser le profil de périphérique : les cookies sont utilisés si le profil de périphérique les prend en charge ; sinon, aucun cookie n'est utilisé. Si le profil de périphérique prend en charge les cookies, ils seront utilisés même si l'utilisateur a désactivé cette prise en charge. Lorsque vous utilisez le mode de cookie Utiliser le profil de périphérique, vous devez exiger la régénération des ID de session qui ont expiré. Vous permettez ainsi à un serveur Web d'expirer et de régénérer des jetons, ce qui donne moins de temps à un intrus potentiel pour capturer un cookie et accéder au contenu du serveur Web. Vous devez également envisager d'affecter au délai d'expiration une valeur inférieure à la valeur par défaut de 20 minutes.
- Utiliser l'URI : incorpore l'ID de session comme une chaîne de requête dans la demande URI (Uniform Resource Identifier), puis l'URI est redirigé vers l'URL demandée à l'origine. La demande URI modifiée étant utilisée pour la durée de la session, aucun cookie n'est nécessaire. Lorsque vous utilisez un URI, vous devez exiger la régénération des ID de session qui ont expiré. Vous permettez ainsi à un serveur Web d'expirer et de régénérer des jetons, ce qui donne moins de temps à un intrus potentiel pour capturer un cookie et accéder au contenu du serveur Web.
|
Nom | Définit un nom pour le cookie. Le nom par défaut est ASP.NET_SessionID. |
Délai d'attente (en minutes) | Définit la durée, en minutes, de persistance d'un cookie. La valeur par défaut est 20 minutes. |
Régénérer l'ID de session ayant expiré | Indique à IIS de refuser et d'émettre à nouveau des ID de session qui ne correspondent pas à des sessions actives dans la base de données. Par défaut, cette fonctionnalité est prise en charge uniquement pour les ID de session sans cookie, mais elle peut être étendue pour gérer des ID de session de cookie/arbitraire en implémentant un gestionnaire d'ID de session personnalisé. |
Utiliser l'identité d'hébergement pour l'emprunt d'identité | Active l'authentification Windows et l'identité de processus hôte (ASP.NET ou une identité de service Windows) pour les connexions distantes. |