會話不會保留值並始終返回空值

Question

我有一個網站，它完全通過HTTPS。即使有人試圖通過HTTP訪問，他也會被重定向到HTTPS。我正在使用表單身份驗證。最近我改變了一個設置，使網站更安全，並在此之後會話不保留值，並始終返回null。設置是，

<httpCookies httpOnlyCookies="true" requireSSL="true"/> 
<sessionState cookieless="false"/> 

我不知道如何解決這個問題。我如何解決這個問題？另外，如果我不使用此設置，我的網站是否易受攻擊？認爲其他一切都是安全的。

Answer 1

你的問題太籠統了，沒有多少線索，所以我可以給你一些要點。

[1]組也domain上的餅乾，用了www.，所以cookie可以被讀取，並且即使錯了www丟失設置。

<httpCookies domain="yourdomain.com" httpOnlyCookies="true" requireSSL="true"/> 

[2]你還需要設置<forms...用類似的參數（和什麼其他任何你已經設置）

<forms name=".klidi" path="/" requireSSL="true" cookieless="UseCookies" 
    domain="yourdomain.com" enableCrossAppRedirects="false" 
     slidingExpiration="true" /> 

[3]你還需要設置<roleManager具有相似的參數。

<roleManager enabled="true" cacheRolesInCookie="false" cookieProtection="All" cookieSlidingExpiration="true" 
      cookieTimeout="20" domain="yourdomain.com" cookieRequireSSL="true"> 

和持續的最重要的一組上你的這行代碼您嘗試設置或使用任何Cookie，看看是否錯誤你沒有使用安全連接https之前。

Debug.Assert(HttpContext.Current.Request.IsSecureConnection, "With out https, cookie will not work"); 

通過設定的最後一行，您的計算機上，當你讓你的網站，你可以看到和診斷問題是否來自非安全連接的到來，因爲從目前您設定的requireSSL爲true，任何簡單的連接將不會持有任何cookie。

在Cookie存在不安全且您有任何衝突的情況下嘗試清除您的Cookie，或嘗試其他瀏覽器。

您還可以閱讀：Can some hacker steal the cookie from a user and login with that name on a web site?