Форум программистов [Powered by Invision Power Board]

Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате

Форум программистов > Разработка под ASP.NET > iframe и cookieless = false

Автор: moric83 8.8.2007, 23:45

Доброй ночи всем кто сейчас работает !!
Есть страница сделанная на asp.net, эту страницу надо загрузить в iframe на другом сайте. Проблема была в том что в некоторых браузерах не сохранялась сессия – решением этой задачи стало изменение параметра cookieless = true то есть хранение идентификатора сессии в  URL.
Вопрос:
Будет ли  это связка  iframe – cookieless =  true работать во все браузеры и безопасно ли это.
И как это работает, ведь в странице указано iframe src=”http://www.site1.com/default.aspx”  а реферер этой странице получается к пиримеру http://www.site1.com/asjoui1123mn3m435/default.aspx ?

Автор: Mymik 9.8.2007, 08:51

вообще очень странно, потому как сессия не имеет никакого отношения к клиенту. Она существует только на стороне сервера и все.
А ты не пробовал выставлять timeout для сессии ??? в web.config прописывать.

Автор: moric83 9.8.2007, 09:18

Цитата(Mymik @ 9.8.2007, 08:51

)

Тогда как мне понять это (отрывок из web.config ):

Код


<!--  SESSION STATE SETTINGS
          By default ASP .NET uses cookies to identify which requests belong to a particular session. 
          If cookies are not available, a session can be tracked by adding a session identifier to the URL. 
          To disable cookies, set sessionState cookieless="true".
    -->

Автор: Mymik 9.8.2007, 10:25

moric83, хм... ну тогда юзай значение AutoDetect. http://msdn2.microsoft.com/en-us/library/h6bb9cz9.aspx

Автор: moric83 9.8.2007, 10:52

Цитата(Mymik @ 9.8.2007, 10:25

)

хм... ну тогда юзай значение AutoDetect. MSDN

прочитал, подходит тока для фраиморка 2.0 - на серваке стоит 1.1 smile

вопрос то о том безопасно ли хранить идентификатор сессий в url, и должно ли это работать для iframe во все браузеры ?

Боюсь что сделаю изминения и потом будут большие проблемы - типа session hijacking или того что сессия будет проподать smile

Автор: Idsa 9.8.2007, 18:46

Цитата(moric83 @ 8.8.2007, 23:45

)

Есть страница сделанная на asp.net, эту страницу надо загрузить в iframe на другом сайте. Проблема была в том что в некоторых браузерах не сохранялась сессия – решением этой задачи стало изменение параметра cookieless = true то есть хранение идентификатора сессии в URL.

Многие браузеры не сохраняют кукисы, передаваемые со страницей в iframe. Поэтому, собственно, сессия и не сохранялась.

Цитата(moric83 @ 9.8.2007, 10:52

)

прочитал, подходит тока для фраиморка 2.0 - на серваке стоит 1.1

Хм... По-моему AutoDetect здесь в принципе не подходит. Дело ведь не в том, включены ли у клиента кукисы, а в том, не проигнорирует ли браузер кукисы, подгруженные в iframe (а в большинстве браузеров именно так и произойдет).

Цитата(moric83 @ 9.8.2007, 10:52

)

Боюсь что сделаю изминения и потом будут большие проблемы - типа session hijacking или того что сессия будет проподать

В плане безопасности оба метода хранения SessionId (и кукисы, и url) принципиально ничем не отличаются. Да и вообще, выбора у тебя нет smile

Автор: moric83 9.8.2007, 21:14

Цитата(Idsa @ 9.8.2007, 18:46

)

Дело ведь не в том, включены ли у клиента кукисы, а в том, не проигнорирует ли браузер кукисы, подгруженные в iframe (а в большинстве браузеров именно так и произойдет).

Так значит остаётся использовать тока метод хранения SessionId в url, но вопрос в том если это будет работать во все браусеры ?

Автор: Idsa 10.8.2007, 07:55

Цитата(moric83 @ 9.8.2007, 21:14

)

Конечно, будет.

Автор: moric83 10.8.2007, 09:12

Цитата(Idsa @ 10.8.2007, 07:55

)

Конечно, будет.

Тогда вопрос решен. smile