Session.Clear()和Session.Abandon()都去掉了会话变量。据我所知,放弃()会结束当前会话,并导致创建一个新会话,从而引发End和Start事件。
在大多数情况下,似乎更可取的做法是调用放弃(),比如注销用户。有没有使用Clear()的场景呢?有很大的性能差异吗?
发布于 2011-10-21 21:12:59
只有在用户注销时使用Session.Clear()才会造成安全漏洞。因为就Web服务器而言,会话仍然有效。因此,嗅探、抓取会话Id并劫持该会话是一件相当微不足道的事情。
因此,在注销用户时,使用Session.Abandon()会更安全、更明智,这样会销毁会话,并创建一个新会话(即使注销的UI页面是新会话的一部分,新会话中也不会包含任何用户详细信息,劫持新会话等同于拥有一个新会话,因此它将是静音的)。
发布于 2012-05-15 18:14:01
如上所述,Session.Abandon
会销毁会话,因此您应该在注销用户时使用它。我认为Session.Clear
的一个很好的用途是作为电子商务网站上的购物篮。这样,篮子就可以在不注销用户的情况下被清除。
发布于 2008-12-07 14:34:09
我遇到了这个问题,两个都试过了,但我不得不删除像"pageEditState“这样的废话,但不能删除用户信息,以免我不得不再次查找它。
public static void RemoveEverythingButUserInfo()
{
foreach (String o in HttpContext.Current.Session.Keys)
{
if (o != "UserInfoIDontWantToAskForAgain")
keys.Add(o);
}
}
https://stackoverflow.com/questions/347377
复制相似问题