Separate ASP.NET Session IDs für http und https

Question

Ich arbeite auf einer Website, die eine nicht gesicherte asp.net Sitzung Cookie verwendet. Die Sitzung wird zwischen http und https geteilt. Wir wollen verschiedene Sitzungen für http und https verwenden (aus Sicherheitsgründen).

Ist dies in ASP.NET konfigurierbar, ist das httpCookies-Konfigurationselement in system.web nicht spezifisch genug. Ich würde das lieber nicht programmatisch aufbauen.

Wenn es nicht möglich ist, welchen Ansatz sollte ich nehmen?

Answer 1

Ich würde die https-Dateien in einem Ordner namens "Secure" als Unteranwendung der http-App in IIS einrichten. Klicken Sie mit der rechten Maustaste auf Mein Computer (oder Computer in Windows Server 2008) und dann auf Verwalten. Erweitern Sie Dienste, dann Internet-Informationsdienst und dann Websites. Erweitern Sie dann Ihre Website und klicken Sie mit der rechten Maustaste auf den Ordner "Secure", den Sie gerade erstellt haben. Klicken Sie auf der Registerkarte Standard auf Anwendung erstellen. Stellen Sie bei jedem Wechsel zu einer https-Seite sicher, dass Sie "https://www.yourdomain.com/Secure/" auf der Vorderseite der URL verwenden. Ich würde einfach eine Konfigurationseinstellung in web.config verwenden, um diese URL-Zeichenfolge als einen programmatisch zugänglichen Wert festzulegen. Dann erstellt Ihre https-Unteranwendung einen neuen Sitzungscookie, da es sich um eine separate Anwendung handelt.