Du använder funktionssidan Sessionstillstånd för att konfigurera hanteringen av den information som behålls över webbläsarsessionerna.

Lista över element i användargränssnittet

Följande tabell beskriver de element i användargränssnittet som finns på funktionssidan och i fönstret Åtgärder.

Element på funktionssidan

ElementnamnBeskrivning

Ej aktiverat

Detta inaktiverar sessionstillståndet.

I processen

Här lagras sessionstillståndsdata för program med förvaltad kod i den arbetarprocess som programmen körs i. Detta är standardinställningen.

Anpassad

Här konfigureras IIS för att använda en anpassad provider för hantering av sessionstillstånd i ASP.NET-programmen.

Serverstatus

Aktiverar Windows-tillståndstjänsten Aspnet_state.exe och lagrar sessionsdata utanför den arbetarprocess som programmet körs i. Fördelen med den här konfigurationen är att sessionstillståndet bevaras när programmets arbetarprocess återvinns. Användning av en statusserver rekommenderas för medelstora webbprogram. De inställningar som ska konfigureras är:

  • Anslutningssträng - anger den anslutningssträng som används för att ansluta till statusservern.

  • Timeout (i sekunder) - anger den tid i sekunder som anslutningen upprätthålls. Standardvärdet är 10 sekunder.

Viktigt!

För att sessionstillståndet utanför processsen ska aktiveras så måste Windows tillståndstjänst (Aspnet_state.exe) köras. Denna tjänst installeras som standard när ASP.NET installeras och är konfigurerad för manuell start. Du måste ändra startbeteendet till Automatiskt.

SQL-server

Här konfigureras IIS för att använda en SQL Server-databas för att lagra sessionstillståndsdata i stället för att lagra dem i den arbetarprocess programmet körs i. Fördelen med den här konfigurationen är att sessionstillståndet behålls när programmets arbetarprocess återvinns, eller om antingen Windows-tillståndstjänsten eller webbservern kopplas ned. De inställningar som ska konfigureras är:

  • Anslutningssträng - anger den anslutningssträng som används för att ansluta till statusservern.

  • Timeout (i sekunder) - anger den tid i sekunder som anslutningen upprätthålls. Standardvärdet är 10 sekunder.

Viktigt!

Innan du konfigurerar en SQL Server för sessionstillstånd måste du köra InstallSqlState.sql-skriptet på servern. Skriptet lagras som standard i systemroot\Microsoft.NET\Framework\V2.0.50727.

Aktivera anspassad databas

Här aktiveras en anpassad SQL Server-databas för lagring av sessionstillståndsdata.

Läge

Här definieras hur cookies används för att lagra sessionstillståndsdata. Alternativen är:

  • Automatisk identifiering - cookies används om webbläsaren stöder sådana, annars används inga cookies. För desktop-webbläsare som är kända för att stödja cookies försöker ASP.NET använda cookies när stöd för cookies är aktiverat i webbläsaren. När du använder cookies-läget Automatisk identifiering bör du kräva att utgångna sessions-ID återskapas. Detta gör att webbservern avslutar och återskapar tokens, vilket ger en potentiell attackerare mindre tid att fånga en cookie och få tillgång till webbserverinnehållet. Du bör även överväga att ändra timeout-värdet till mindre än standardvärdet 20 minuter.

  • Använd cookies - kopplar sessionsinformation till klientinformation under den tidsperiod en användare är ansluten till en webbplats. Cookies skickas tillsammans med alla begäranden mellan en klient och en webbserver i ett HTTP-huvud. Att använda cookies är ett mer effektivt sätt att spåra sessionstillstånd än andra metoder utan cookies eftersom cookies inte kräver omdirigering. Dessutom kan användarna bokmärka webbsidor med hjälp av cookies som också behåller tillståndet om en användare lämnar platsen för att besöka en annan plats och därefter återvänder till den ursprungliga platsen.

OBS

Du bör överväga att ändra timeout-värdet till mindre än standardvärdet 20 minuter så att eventuella attackerare har mindre tid att fånga cookies och få tillgång till webbplatsens innehåll.

  • Använd enhetsprofil - cookies används om enhetsprofilen stöder cookies, annars används inga cookies. Om enhetsprofilen indikerar att cookies stöds används de oavsett om användaren inaktiverat cookie-stödet eller inte. När du använder cookie-läget Använd enhetsprofil bör du kräva att utgångna sessions-ID återskapas. Detta gör att webbservern avslutar och återskapar tokens, vilket ger en potentiell attackerare mindre tid att fånga en cookie och få tillgång till webbserverinnehållet. Du bör även överväga att ändra timeout-värdet till mindre än standardvärdet 20 minuter.

  • Använd URI - med denna inställning bäddas sessions-ID in som en förfrågningssträng i URI-begäran (Uniform Resource Identifier), varvid URI omdirigeras till den ursprungligen begärda URL:adressen. Den ändrade URI-begäran används så länge sessionen varar, vilket gör att inga cookies behövs. Om du använder en URI bör du begära att utgångna sessions-ID återskapas. Detta gör att webbservern avslutar och återskapar tokens, vilket ger en potentiell attackerare mindre tid att fånga en cookie och få tillgång till webbserverinnehållet.

Namn

Här anges ett namn för cookien. Standarvärdet är ASP.NET_SessionID.

Timeout (i minuter)

Här anges den tid i minuter som cookien varar. Standardvärdet är 20 minuter.

Återskapa utgångna sessions-ID

Här anges om IIS ska avvisa och på nytt utfärda sessions-ID som inte har motsvarande aktiva sessioner i databasen. Denna funktion stöds som standard endast för sessions-ID:n utan cookies, men den kan utökas för att hantera cookie- eller godtyckliga sessions-ID genom implementering av en anpassad sessions-ID-hanterare.

Använd värdidentitet för personifiering

Här aktiveras Windows-autentisering och värdprocessidentiteten (antingen en ASP.NET- eller Windowstjänst-identitet) för fjärranslutningar.

Element i åtgärdsfönstret

ElementnamnBeskrivning

Verkställ

Sparar de ändringar som du gjorde på funktionssidan.

Avbryt

Avbryter de ändringar som du gjorde på funktionssidan.

Se även


Innehåll