问题标签 [cookieless]

我有一个 PHP 站点，其中 20% 的访问者没有 cookie 支持。

如何根据 Cookie 支持同时提供基于 URL 和基于 Cookie 的会话跟踪？

换句话说，如果用户接受 cookie，那么我们使用基于 cookie 的会话跟踪。但如果他们不这样做，那么我们将切换到基于 URL 的会话跟踪，以便这些用户仍然可以使用该站点。

我不想失去 20% 的用户，也不想要一个 100% 基于 URL 会话跟踪的网站，因为这不仅会带来安全风险，而且还会带来某些限制，我不希望其他 80%用户不得不忍受。

我正在尝试使用 PingFederate 进行 SLO。其中一个 SP 应用程序配置为使用无 cookie 会话。PingFederate 中的这个 SP 应用程序的注销 URL 设置为例如“http://site/logout.aspx”，但是当 SLO 进程被触发时，PingFederate 成功地将浏览器重定向到这个 URL，但是到一个完全不同的会话比第一次创建 SSO 时产生的那个。如何配置 PingFederate 以重新使用在 SSO 过程中创建的会话重定向到 SP 的注销页面？

编辑：对不起，我忘了提一些事情。实际上 IdP 和 SP 应用程序都是在 ASP.NET 中开发的，我所说的 cookieless 是指 SP 应用程序在其 web.config 文件中具有以下会话状态配置

此 sessionState 配置使 url 看起来像“http://site(S(pvvofbemnrmaixo2emaaeo0t))/Home.aspx”，这对于 SSO 来说是可以的，因为当调用“http://site/Home.aspx”时，a新会话被创建，因此将 url 替换为包含“(S(blahblah))”，但是，当 SLO 进程调用 SP 的注销 url (http://site/logout.aspx) 时，为生成 SP 站点（不同于最初由 SSO 创建的站点）。因此，原始 SP 站点会话并未结束。

我正在开发一个 ASP.NET 网站。我想知道在会话状态模式下哪个更好：InProc 还是 SQL Server？我需要听听你在这个问题上的经验。

另一个问题是关于 cookieless 属性。如果我将其设置为 true，我的网站是否存在安全漏洞？在我在 MSDN 站点中看到的所有示例中，此属性都设置为 false。

最后一个问题是关于 Timeout 属性的。当我将其设置为 InProc 模式时，此属性是否会影响我的会话生命周期？

据我所知，我在 web.config 的所有地方都禁用了 cookieless URL：

浏览我们的网站时，我仍然不时收到无 cookie 的 URL。路径可能如下所示：/(F(5wpzvCsOC[...snip...]9NXal01))/About/

问题是我们的一些 URL 包含可能很长的产品名称，这会导致 HttpException 出现“URL [...] 的长度超过 [...] maxUrlLength”。Google 似乎也将这些 URL 编入索引，但我添加了链接规范以避免这种情况。

如果重要的话，它是一个在 IIS7.5 上运行的 ASP.NET MVC 3 站点。

编辑： 我已经把这个问题搁置了一段时间，但今天我突然想到它可能与缓存有关。我缓存了一些子操作以加快速度，但如果缓存的请求包含 (F([stuff]))，缓存自然会包含这些链接。现在的问题是我是否可以首先阻止 ASP.NET MVCs Html.ActionLink() 生成这些链接？

我最近在研究无 cookie 会话，我看到一篇文章说，每当在服务器上创建会话时，它的 ID 都存储在客户端计算机上的 cookie 中，我在大学里被认为会话存储在服务器，如果 sessionID 在 cookie 中，并且 cookie 存储在本地的客户端计算机中，如何说会话存储在服务器上，对，会话存储在服务器上？如果是，那么无cookie会话的概念是什么，谁能解释一下

我有一个网站允许使用 django-social-auth 进行 Facebook 身份验证

现在我还需要使用非基于 cookie 的 API 进行身份验证。我的想法是包含一个“sessionid=”作为 POST 字段（它将使用 HTTPS）。到目前为止，我设法“愚弄”了 django 来访问这个 sessionid，就好像它是一个 cookie 一样（我基本上在中间件中做了类似 request.COOKIES['sessionid'] = request.POST['sessionid'] 的事情）。

我的问题是如何在用户通过身份验证后立即将 sessionid 提供给用户。据我所知，facebook 为用户提供了一个“访问令牌”，然后将其发送到 /complete/facebook/ ，由 django-social-auth 处理并返回一个包含“sessionid”的“Set-cookie”标头钥匙。但不是那样，我需要它将 sessionid 键作为页面内容中的 json 返回（API 客户端无法读取 http 响应标头）。

谁能向我解释当用户在无 cookie 会话期间单击“返回”按钮时发生了什么？

我对无 cookie 会话的了解是，为了识别会话，服务器会将会话 ID 附加到响应页面中存在的任何链接。

那么如果用户没有点击任何链接而是按下“返回”按钮会发生什么呢？

通过 web.config 启用无 cookie 会话很简单。是否也可以为特定请求启用它（可能在 global.asax 中）？

我需要无 cookie 会话来解决 IE8 下的 IFrame 问题。对于所有没有 IFrame 的正常请求，我不想使用 cookieless 模式。

是这样的吗...

...可能的？

在使用 asp.net 无 cookie 会话的网站中，将会话 ID 记录在 IIS 日志文件中的最佳方法是什么？

例如，如果客户端请求一个页面

http://server.tld/(S(kdcwx1552av4iq45uabwa145))/site.aspx

默认情况下，IIS 只记录

在其日志文件中，即不记录会话 ID（尽管它可能出现在引荐来源网址字段中）。

是否有任何构建方法可以在日志中包含会话 ID？如果没有，我想自定义 ISAPI 过滤器会起作用吗？

谢谢

如果我使用

进行此更改后。以匿名用户身份访问时，URL 看起来与以前完全相同。例如，当访问 Default.aspx 页面时，我的浏览器地址栏显示以下 URL：

但是，登录后，表单身份验证票证会嵌入到 URL 中。比如访问登录页面，以Sam登录后，返回到Default.aspx页面，但是这次的URL是：

注意：无 cookie 身份验证票更容易受到重放攻击，因为身份验证票直接嵌入在 URL 中。想象一个用户访问网站，登录，然后将 URL 粘贴到电子邮件中给同事。如果同事在到期前点击该链接，他们将作为发送电子邮件的用户登录！

如果我使用无 cookie 身份验证，这是一个可能的缺点，我有兴趣了解这种方法的其他可能缺点。

谢谢