Session.Abandon() 不会立即放弃会话

发布于 2024-11-09 00:13:46 字数 384 浏览 0 评论 0原文

在我的 ASP.NET Web 应用程序中，我在 Page_Load() 中调用 Session.Abandon()。我希望这会立即放弃会话，并且下次我引用 HttpContext.Current.Session 时应该创建一个新会话。但是，在 Global.asax 中的 Session_End 和 Session_Start 处理程序上放置断点表明，在页面完成呈现之前不会调用这些处理程序。

所以有两个问题：

1）为什么？

2）一旦调用 Session.Abandon() ，如何在页面生命周期内继续使用 HttpContext.Current.Session 。

提前致谢！

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

香橙ぽ 2024-11-16 00:13:46

http://msdn.microsoft.com/en- us/library/ms524310(v=vs.90).aspx

查看链接页面上的备注部分。
看起来会话对象只是排队等待删除，直到代码运行完毕才被删除。

回复收藏 0 原文

策马西风 2024-11-16 00:13:46

这是我的解决方案：

private void PurgeSession()
{
    try
    {
        Session.Clear();
    }
    catch (Exception) {  }

    try
    {
        Session.Abandon();
    }
    catch (Exception) {  }

    try
    {
        Session.RemoveAll();
    }
    catch (Exception) {  }

    try
    {
        Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId") 
                                {Expires = DateTime.Now.AddYears(-1)});
    }
    catch (Exception) {  }
}

这实际上是轨道轰炸选项。

一些信息来源于： http://www.dotnetfunda.com/articles/article1395-how-to-avoid-the-session-fixation-vulnerability-in-aspnet-.aspx

This was my solution:

private void PurgeSession()
{
    try
    {
        Session.Clear();
    }
    catch (Exception) {  }

    try
    {
        Session.Abandon();
    }
    catch (Exception) {  }

    try
    {
        Session.RemoveAll();
    }
    catch (Exception) {  }

    try
    {
        Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId") 
                                {Expires = DateTime.Now.AddYears(-1)});
    }
    catch (Exception) {  }
}

This is effectively the orbital bombardment option.

Some information sourced from: http://www.dotnetfunda.com/articles/article1395-how-to-avoid-the-session-fixation-vulnerability-in-aspnet-.aspx

回复收藏 0 原文