セキュリティで保護されていないasp.netセッションCookieを使用するWebサイトで作業しています。 セッションはhttpとhttpsで共有されます。 セキュリティ上の理由から、httpとhttpsに異なるセッションを使用したいと考えています。httpとhttpsのASP.NETセッションIDを別にします
これはASP.NETで設定できますか?system.webのhttpCookies config要素は十分に具体的ではありません。私はむしろプログラム的にこれを構築していないだろう。
可能でない場合は、どのようなアプローチをとるべきですか?
IISのhttpアプリケーションのサブアプリケーションとして「Secure」という名前のフォルダにhttpsファイルをセットアップします。 [マイコンピュータ](またはWindows Server 2008のコンピュータ)を右クリックし、[管理]をクリックします。 [サービス]、[インターネットインフォメーションサービス]、[Webサイト]の順に展開します。次に、あなたのWebサイトを展開し、作成したばかりの「安全な」フォルダを右クリックします。既定のタブで、アプリケーションの作成をクリックします。 httpsページに切り替えるときはいつでも、URLの前に "https://www.yourdomain.com/Secure/"を使用していることを確認してください。私は、プログラムでアクセス可能な値としてそのURL文字列を設定するweb.configの構成設定を使用します。次に、別のアプリケーションであるため、httpsサブアプリケーションが新しいセッションCookieを設定します。
私のウェブサイトの現在の設定は不可能ですが、これはおそらく良いアプローチです。 – Jaap
私は理解しています。あなたのアプリケーションの詳細を教えてください。 –
複雑で、私は同僚と相談しました。答えをありがとう – Jaap