Identifiants de session ASP.NET séparés pour http et https

Question

Je travaille sur un site Web qui utilise un cookie de session asp.net non sécurisé. La session est partagée entre http et https. Nous voulons utiliser différentes sessions pour http et https (pour des raisons de sécurité). Est-ce configurable dans ASP.NET, l'élément de configuration httpCookies dans system.web n'est pas assez spécifique. Je préfèrerais ne pas le construire par programme.

Si ce n'est pas possible, quelle approche dois-je prendre?

Answer 1

Je voudrais installer les fichiers https dans un dossier appelé "Secure" comme une sous-application de l'application http dans IIS. Faites un clic droit sur Mon ordinateur (ou Ordinateur dans Windows Server 2008) et cliquez sur "Gérer". Développez Services, puis Internet Information Service, puis Sites Web. Ensuite, développez votre site web et faites un clic droit sur le dossier "Secure" que vous venez de créer. Sous l'onglet par défaut, cliquez sur Créer une application. Chaque fois que vous avez un passage à une page https, assurez-vous que vous utilisez "https://www.yourdomain.com/Secure/" sur le front de l'URL. Je voudrais simplement utiliser un paramètre de configuration dans web.config pour définir cette chaîne d'URL en tant que valeur accessible par programmation. Ensuite, votre sous-application https vous définira un nouveau cookie de session car il s'agit d'une application distincte.