为什么ASP.NET 页面中Session对象上的属性SessionID在请求之间会发生变化?
我有一个这样的页面:
...
<div>
SessionID: <%= SessionID %>
</div>
...
每次我按 F5 时,输出都会不断变化,与浏览器无关。
问问题
120783 次
14 回答
239
这就是原因
使用基于 cookie 的会话状态时,ASP.NET 在使用 Session 对象之前不会为会话数据分配存储空间。因此,在访问会话对象之前,会为每个页面请求生成一个新的会话 ID。如果您的应用程序需要整个会话的静态会话 ID,您可以在应用程序的 Global.asax 文件中实现 Session_Start 方法并将数据存储在 Session 对象中以修复会话 ID,或者您可以在您的另一部分中使用代码应用程序将数据显式存储在 Session 对象中。
http://msdn.microsoft.com/en-us/library/system.web.sessionstate.httpsessionstate.sessionid.aspx
所以基本上,除非您在后端访问会话对象,否则每个请求都会生成一个新的 sessionId
编辑
此代码必须添加到文件 Global.asax 中。它向 Session 对象添加一个条目,以便您修复会话直到它过期。
protected void Session_Start(Object sender, EventArgs e)
{
Session["init"] = 0;
}
于 2010-05-20T13:32:51.473 回答
98
还有另一个更隐蔽的原因,即使在 Session 对象已被初始化(如 Claudio 所证明的那样)时也可能发生这种情况。
在 Web.config 中,如果有一个<httpCookies>条目设置为requireSSL="true"但您实际上并未使用 HTTPS: 对于特定请求,则不会发送会话 cookie(或者可能不会返回,我不确定是哪个),这意味着您最终会为每个请求创建一个全新的会话。
我发现这很困难,在我的源代码管理中的几次提交之间来回花费了几个小时,直到我发现什么特定的更改破坏了我的应用程序。
于 2011-08-19T14:31:38.327 回答
5
就我而言,我发现会话 cookie 有一个包含前缀的域www.,而我请求的页面没有www..
添加www.到 URL 立即解决了问题。后来我将 cookie 的域更改为设置为.mysite.com而不是www.mysite.com.
于 2013-03-14T15:18:41.677 回答
5
我的问题是我们在 web.config 中设置了这个
<httpCookies httpOnlyCookies="true" requireSSL="true" />
这意味着在非 SSL(默认)中调试时,auth cookie 不会被发送回服务器。这意味着服务器将为每个请求发送一个新的 auth cookie(带有一个新会话)给客户端。
修复方法是在 web.config 中将 requiressl 设置为 false,在 web.release.config 中设置为 true,或者在调试时打开 SSL:
于 2016-02-18T18:15:52.993 回答
4
使用 Neville 的答案(在 web.config 中删除 requireSSL = true)并稍微修改 Joel Etherton 的代码,这里是应该处理在 SSL 模式和非 SSL 模式下运行的站点的代码,具体取决于用户和页面(我我跳回到代码中,尚未在 SSL 上对其进行测试,但预计它应该可以工作 - 稍后会太忙而无法回到这个,所以这里是:
if (HttpContext.Current.Response.Cookies.Count > 0)
{
foreach (string s in HttpContext.Current.Response.Cookies.AllKeys)
{
if (s == FormsAuthentication.FormsCookieName || s.ToLower() == "asp.net_sessionid")
{
HttpContext.Current.Response.Cookies[s].Secure = HttpContext.Current.Request.IsSecureConnection;
}
}
}
于 2013-01-20T00:26:59.640 回答
2
即使定义了 Session_OnStart 和/或 Session 已初始化,导致 SessionID 在请求之间更改的另一种可能性是 URL 主机名包含无效字符(例如下划线)。我相信这是 IE 特定的(未验证),但如果您的 URL 是,例如http://server_name/app,那么 IE 将阻止所有 cookie,并且您的会话信息将无法在请求之间访问。
事实上,每个请求都会在服务器上启动一个单独的会话,因此如果您的页面包含多个图像、脚本标签等,那么每个 GET 请求都会在服务器上产生不同的会话。
更多信息: http: //support.microsoft.com/kb/316112
于 2013-10-22T14:03:26.127 回答
2
我的问题与 Microsoft MediaRoom IPTV 应用程序有关。事实证明,MPF MRML 应用程序不支持 cookie。更改为在 web.config 中使用无 cookie 会话解决了我的问题
<sessionState cookieless="true" />
这是一篇关于它的非常古老的文章: Cookieless ASP.NET
于 2014-04-15T23:32:35.660 回答
2
就我而言,这在我的开发和测试环境中经常发生。在尝试了上述所有解决方案都没有成功后,我发现我可以通过删除所有会话 cookie 来解决这个问题。Web 开发者扩展使这很容易做到。我主要使用 Firefox 进行测试和开发,但在 Chrome 中进行测试时也发生了这种情况。该修复程序也适用于 Chrome。
我还没有在生产环境中这样做,也没有收到任何关于人们无法登录的报告。这似乎也只是在使会话 cookie 安全之后才会发生。过去,当他们不安全时,它从未发生过。
更新:这只是在我们更改会话 cookie 以使其安全之后才开始发生的。我已经确定确切的问题是由于浏览器中有两个或多个会话 cookie 具有相同的路径和域。始终存在问题的那个是具有空值或空值的那个。删除该特定 cookie 后,问题已解决。我还在 Global.asax.cs Sessin_Start 方法中添加了代码来检查这个空 cookie,如果是这样,将它的过期日期设置为过去的某个时间。
HttpCookieCollection cookies = Response.Cookies;
for (int i = 0; i < cookies.Count; i++)
{
HttpCookie cookie = cookies.Get(i);
if (cookie != null)
{
if ((cookie.Name == "ASP.NET_SessionId" || cookie.Name == "ASP.NET_SessionID") && String.IsNullOrEmpty(cookie.Value))
{
//Try resetting the expiration date of the session cookie to something in the past and/or deleting it.
//Reset the expiration time of the cookie to one hour, one minute and one second in the past
if (Response.Cookies[cookie.Name] != null)
Response.Cookies[cookie.Name].Expires = DateTime.Today.Subtract(new TimeSpan(1, 1, 1));
}
}
}
于 2017-03-16T16:17:24.083 回答
2
在我的情况下,这是因为我在从外部应用程序中的网关重定向后修改了会话,所以因为我在该页面 url 的 localhost 上使用 IP 而不是它实际上被认为是具有不同会话的不同网站。
总之
如果您在 IIS 而不是 IIS express 上调试托管应用程序并在各个页面中混合您的机器http://Ip和http://localhost ,请多加注意
于 2018-01-04T05:41:26.743 回答
1
从 .NET 4.7.2 开始,这对我来说发生了变化,这是由于会话 cookie 上的 SameSite 属性。有关更多信息,请参见此处:https ://devblogs.microsoft.com/aspnet/upcoming-samesite-cookie-changes-in-asp-net-and-asp-net-core/
默认值更改为“Lax”并开始破坏。我将其更改为“无”并且事情按预期工作。
于 2020-01-31T23:00:42.820 回答
0
确保您没有非常短的会话超时,并确保如果您正在使用基于 cookie 的会话,则表明您正在接受该会话。
FireFox webDeveloperToolbar 有时会很有帮助,因为您可以看到为您的应用程序设置的 cookie。
于 2010-05-20T13:27:10.303 回答
0
会话 ID 重置可能有很多原因。但是,上面提到的任何内容都与我的问题无关。因此,我将对其进行描述以供将来参考。
在我的情况下,在每个请求上创建一个新会话会导致无限重定向循环。重定向操作发生在OnActionExecuting事件中。
此外,我一直在清除所有 http 标头(也在使用Response.ClearHeaders方法的OnActionExecuting事件中),以防止在客户端缓存站点。但是该方法会清除所有标题,包括有关用户会话的信息,因此会清除临时存储中的所有数据(我稍后在程序中使用)。因此,即使在 Session_Start 事件中设置新会话也无济于事。
为了解决我的问题,我确保在发生重定向时不删除标头。
希望它可以帮助某人。
于 2014-05-22T10:29:40.437 回答
0
我以不同的方式遇到了这个问题。[SessionState(SessionStateBehavior.ReadOnly)]即使我在应用程序启动时在原始会话中设置了一个值,具有此属性的控制器仍从不同的会话中读取。我通过 _layout.cshtml 添加会话值(也许不是最好的主意?)
显然是 ReadOnly 导致了问题,因为当我删除该属性时,原始会话(和 SessionId)将保持不变。使用克劳迪奥/微软的解决方案修复了它。
于 2016-04-01T18:14:50.903 回答
0
我在 .NET Core 2.1 上,我很清楚问题不在于 Core。然而,互联网缺乏,谷歌把我带到这里,希望能节省几个小时。
Startup.cs
services.AddCors(o => o.AddPolicy("AllowAll", builder =>
{
builder
.WithOrigins("http://localhost:3000") // important
.AllowCredentials() // important
.AllowAnyMethod()
.AllowAnyHeader(); // obviously just for testing
}));
client.js
const resp = await fetch("https://localhost:5001/api/user", {
method: 'POST',
credentials: 'include', // important
headers: {
'Content-Type': 'application/json'
},
body: JSON.stringify(data)
})
Controllers/LoginController.cs
namespace WebServer.Controllers
{
[Route("api/[controller]")]
[ApiController]
public class UserController : ControllerBase
{
[HttpPost]
public IEnumerable<string> Post([FromBody]LoginForm lf)
{
string prevUsername = HttpContext.Session.GetString("username");
Console.WriteLine("Previous username: " + prevUsername);
HttpContext.Session.SetString("username", lf.username);
return new string[] { lf.username, lf.password };
}
}
}
请注意,会话写入和读取工作正常,但似乎没有 cookie 传递给浏览器。至少我在任何地方都找不到“Set-Cookie”标题。
于 2018-12-11T11:43:23.980 回答