标题写的很难看,说起来这个问题比较不容易发现。
最近用采集程序在线发布内容到我的一个小站,站用的我用asp.net写的cms后台程序,原来貌似可以正常的实现自动登录自动在线发布,单前端出了问题,一直登录不正常,多方查找原因都不知道为什么。后来偶然机会,想到是不是asp.net的sessionid没有被采集程序正常捕获到,造成登录会话丢失,无法发布。
asp.net页面被访问时,就会给访问者生成一个session,这个会话会一直保留到该访问者离开,甚至可以更久。而访问者则需要每次访问页面时带上这个session的一个id,即写到客户端cookie中的ASP.NET_SessionId,当然这个是默认情况下,通过配置也可以通过url传递sessionid等,此处不论。
从.net 2.0之后,ASP.NET_SessionId 这个cookie被加上了httponly属性,话说httponly,就是让某个cookie值无法通过客户端脚本获取,避免一些安全性的问题,比如跨站攻击等。当然,既然该cookie传递到了客户端,通过一些手段还是能读取到,只是常见的软件,默认是不允许访问该值的,比如ie6 sp1之后版本的浏览器。通过一些http通讯监控程序也能轻松的捕获这个值。
测试表明,正是因为ASP.NET_SessionId这个cookie被赋予了httponly属性,致使采集工具软件没法正确的记录session,从而发布文章到cms时被告知没有登录。因为会话丢失了。
那么,如果去除ASP.NET_SessionId的httponly属性,应该可以解决问题,ASP.NET_SessionId在访问者访问第一个页面文件时,就会产生,那么是否可以再会话产生时修改该值呢。
查找文档得知,可以再应用全局程序文件中,关闭ASP.NET_SessionId的httponly,具体是给asp.net程序添加全局应用程序类文件Global.asax,编辑该文件代码,在会话生成事件函数Session_Start中加入如下代码
- protected void Session_Start(object sender, EventArgs e)
- {
- Response.Cookies["ASP.NET_SessionId"].HttpOnly = false;
- }
这样无论你的访问者先打开那个页面访问你的站点,都会关闭cookie ASP.NET_SessionId的httponly属性了,当然如果你只想在某个文件被访问时处理特殊的会话效果,也可以在某个页面文件的代码中进行同样处理。
关闭httponly之后,那个采集器程序可以正常获取会话id并正常发布了。
不好的就是,这样也会造成一些不必要的安全问题哦。
