Elementnaam | Beschrijving |
---|
Niet ingeschakeld | Hiermee wordt de sessiestatus uitgeschakeld. |
In behandeling | Hiermee worden sessiestatusgegevens voor een toepassing in beheerde code opgeslagen in het werkproces waarin de toepassing wordt uitgevoerd. Dit is de standaardinstelling. |
Aangepast | Hiermee configureert u IIS zodat een aangepaste provider wordt gebruikt voor het verwerken van de sessiestatus voor ASP.NET-toepassingen. |
Statusserver | Hiermee wordt de Windows-statusservice Aspnet_state.exe ingeschakeld en wordt de sessiestatus opgeslagen buiten het werkproces waarin de toepassing wordt uitgevoerd. Het voordeel van deze configuratie is dat de sessiestatus behouden blijft wanneer het werkproces van de toepassing wordt gerecycled. Het gebruik van een statusserver wordt aangeraden voor webtoepassingen van gemiddelde grootte. De volgende instellingen moeten worden geconfigureerd: - Verbindingsreeks - Hiermee wordt de verbindingsreeks ingesteld die wordt gebruikt voor verbindingen met de statusserver.
- Time-out (in seconden) - hiermee wordt ingesteld hoe lang, in seconden, de verbinding behouden blijft. De standaardwaarde is 10 seconden.
| Belangrijk | | De sessiestatus buiten het proces werkt alleen als de Windows-statusservice (Aspnet_state.exe) wordt uitgevoerd. Deze service wordt standaard geïnstalleerd als ASP.NET wordt geïnstalleerd en is geconfigureerd om handmatig te worden gestart. U moet het startgedrag wijzigen in Automatisch. |
|
SQL-server | Hiermee configureert u IIS voor het gebruikt van een SQL Server-database voor de opslag van sessiestatusgegevens in plaats van dat deze worden opgeslagen in het werkproces waarin de toepassing wordt uitgevoerd. Het voordeel van deze configuratie is dat de sessiestatus behouden blijft als het werkproces van de toepassing wordt gerecycled, of als de Windows-statusservice of de webserver niet beschikbaar zijn. De volgende instellingen moeten worden geconfigureerd: - Verbindingsreeks - Hiermee wordt de verbindingsreeks ingesteld die wordt gebruikt voor verbindingen met de statusserver.
- Time-out (in seconden) - hiermee wordt ingesteld hoe lang, in seconden, de verbinding behouden blijft. De standaardwaarde is 10 seconden.
| Belangrijk | | Voordat u een SQL-server configureert voor de sessiestatus, moet u het script InstallSqlState.sql uitvoeren op de server. Dit script wordt standaard opgeslagen in systemroot\Microsoft.NET\Framework\V2.0.50727. |
|
Aangepaste database inschakelen | Hiermee schakelt u een aangepaste SQL Server-database in voor de opslag van sessiestatusgegevens. |
Modus | Hiermee definieert u hoe cookies worden gebruikt voor de opslag van sessiestatusgegevens. De volgende opties zijn beschikbaar: - Autodetectie - er worden cookies gebruikt als de browser cookies ondersteunt; anders worden er geen cookies gebruikt. Voor browsers waarvan bekend is dat ze cookies ondersteunen, probeert ASP.NET cookies te gebruiken als de ondersteuning van cookies is ingeschakeld in de browser. Als u de cookiemodus Automatisch detectie gebruikt, moet u vereisen dat verlopen sessie-id's opnieuw worden gegenereerd. Als u dit doet, kan een webserver tokens laten verlopen en opnieuw genereren, waardoor een mogelijke aanvaller minder tijd heeft een cookie te onderscheppen en toegang te krijgen tot de inhoud van een webserver. Overweeg ook de time-outwaarde te wijzigen in minder dan de standaardinstelling van 20 minuten.
- Cookies gebruiken - sessiegegevens worden gekoppeld aan clientgegevens zolang een gebruiker verbinding heeft met een website. Cookies worden in een HTTP-header doorgegeven bij alle aanvragen tussen een client en een webserver. Het gebruik van cookies is een efficiëntere manier voor het bijhouden van de sessiestatus dan de methoden waarbij geen cookies worden gebruikt, omdat voor cookies geen omleiding nodig is. Daarnaast kunnen gebruikers met cookies webpagina's opnemen in hun favorieten en blijft de status van een webpagina behouden als een gebruiker een site verlaat om naar een andere site te gaan en vervolgens terugkeert naar de oorspronkelijke site.
| Opmerking | | Overweeg de time-outwaarde te wijzigen in minder dan de standaardinstelling van 20 minuten, zodat een mogelijke aanvaller minder tijd heeft een cookie te onderscheppen en toegang te krijgen tot de inhoud van een webserver. |
- Apparaatprofiel gebruiken - er worden cookies gebruikt als het apparaatprofiel cookies ondersteunt; anders worden er geen cookies gebruikt. Als het apparaatprofiel aangeeft dat cookies worden ondersteund, worden cookies gebruikt, ook als de gebruiker de ondersteuning van cookies heeft uitgeschakeld. Als u de cookiemodus Apparaatprofiel gebruiken gebruikt, moet u vereisen dat verlopen sessie-id's opnieuw worden gegenereerd. Als u dit doet, kan een webserver tokens laten verlopen en opnieuw genereren, waardoor een mogelijke aanvaller minder tijd heeft een cookie te onderscheppen en toegang te krijgen tot de inhoud van een webserver. Overweeg ook de time-outwaarde te wijzigen in minder dan de standaardinstelling van 20 minuten.
- URI gebruiken - de sessie-id wordt als een queryreeks opgenomen in de URI-aanvraag (Uniform Resource Identifier) en vervolgens wordt de URI omgeleid naar de oorspronkelijk aangevraagde URL. De gewijzigde URI-aanvraag wordt gebruikt zolang de sessie duurt, dus er is geen cookie nodig. Als u een URI gebruikt, moet u vereisen dat verlopen sessie-id's opnieuw worden gegenereerd. Als u dit doet, kan een webserver tokens laten verlopen en opnieuw genereren, waardoor een mogelijke aanvaller minder tijd heeft een cookie te onderscheppen en toegang te krijgen tot de inhoud van een webserver.
|
Naam | Hiermee stelt u een naam in voor de cookie. De standaardinstelling is ASP.NET_SessionID. |
Time-out (in minuten) | Hiermee stelt u in hoe lang, in minuten, een cookie blijft bestaan. De standaardwaarde is 20 minuten. |
Verlopen sessie-id opnieuw genereren | Hiermee geeft u aan IIS door dat sessie-id's waarvoor de database geen overeenkomstige actieve sessie bevat, moeten worden geweigerd en opnieuw moeten worden uitgegeven. Deze functie wordt standaard alleen ondersteund voor sessie-id's zonder cookies, maar de functie kan worden uitgebreid naar het beheer van sessie-id's met cookies of willekeurige sessies door de implementatie van aangepast sessie-id-beheer. |
Hostidentiteit gebruiken voor imitatie | Hiermee schakelt u Windows-verificatie en de hostprocesidentiteit (ASP.NET of een Windows-service-identiteit) in voor externe verbindingen. |