Доброй ночи всем кто сейчас работает !!
Есть страница сделанная на asp.net, эту страницу надо загрузить в iframe на другом сайте. Проблема была в том что в некоторых браузерах не сохранялась сессия – решением этой задачи стало изменение параметра cookieless = true то есть хранение идентификатора сессии в  URL.
Вопрос: 
Будет ли  это связка  iframe – cookieless =  true работать во все браузеры и безопасно ли это. 
И как это работает, ведь в странице указано iframe src=”http://www.site1.com/default.aspx”  а реферер этой странице получается к пиримеру http://www.site1.com/asjoui1123mn3m435/default.aspx ?

вообще очень странно, потому как сессия не имеет никакого отношения к клиенту. Она существует только на стороне сервера и все.
А ты не пробовал выставлять timeout  для сессии ??? в web.config прописывать.

Тогда как мне понять это (отрывок из web.config ):

moric83, хм... ну тогда юзай значение AutoDetect. MSDN

прочитал, подходит тока для фраиморка 2.0 - на серваке стоит 1.1    

вопрос то о том безопасно ли хранить идентификатор сессий в url, и должно ли это работать для iframe  во все браузеры ?

Боюсь что сделаю изминения и потом будут большие проблемы  - типа session hijacking или того что сессия будет проподать   

Многие браузеры не сохраняют кукисы, передаваемые со страницей в iframe. Поэтому, собственно, сессия и не сохранялась.


Хм... По-моему AutoDetect здесь в принципе не подходит. Дело ведь не в том, включены ли у клиента кукисы, а в том, не проигнорирует ли браузер кукисы, подгруженные в iframe (а в большинстве браузеров именно так и произойдет).


В плане безопасности оба метода хранения SessionId (и кукисы, и url) принципиально ничем не отличаются. Да и вообще, выбора у тебя нет 

Так значит остаётся использовать тока метод хранения SessionId в url, но вопрос в том если это будет работать во все браусеры ?

Конечно, будет.

Тогда вопрос решен.