ASP.Net 中的 Session.Abandon() 和 Session.Clear() 有什么区别？

Question

ASP.Net 中的 Session.Abandon() 和 Session.Clear() 之间有什么区别？

Answer 1

Session.Abandon() 将结束当前会话。 Session_End 将被触发，下一个请求将触发 Session_Start 事件。

Session.Clear 只会清除会话数据，并且会话将保持活动状态。

只要浏览器未关闭，这两种情况下的会话 ID 将保持不变。

简而言之：

Session.Abandon(); 取消当前Session。

Session.Clear(); 清除 Session 状态中的所有值。

Answer 2

Session.Abandon() 

将破坏/杀死整个会话。

Session.Clear()

删除/清除会话数据（即当前会话中的键和值），但会话将处于活动状态。

与Session.Abandon()方法相比，Session.Clear()不会创建新的会话，它只是将会话中的所有变量设置为NULL。

只要浏览器未关闭，这两种情况下的会话 ID 将保持不变。

Answer 3

根据我的经验，这里需要注意一些事项：

Session.Abandon() 不会使当前会话无效。如果重播旧请求，它们会执行得很好。

但是，在调用它之后，设置废弃会话字典的内容不会产生永久效果。下一个请求将获得一个全新的会话字典（即使您通过重放上一个请求来使用相同的会话 ID），并且您之前对其进行的任何更改（在调用该方法之后）都不存在。

因此，似乎 Session.Abandon() 完全停止了整个会话的持久性，而 Session.Clear() 只删除其数据。

而且，如果您需要保护应用程序免受重放攻击，您应该添加一些验证会话的逻辑，而不是依赖于任何这些内置方法。这些似乎只是为了管理会话数据的持久性，而不是为了保护您的应用程序。