SessionID 属性用于唯一地标识在服务器上包含会话数据的浏览器。SessionID 值由 ASP.NET 随机生成,并存储在浏览器的不过期 Cookie 中。每次向 ASP.NET 应用程序发送请求时,SessionID 值便被发送到 Cookie 中。
如果您希望禁止在 ASP.NET 应用程序中使用 Cookie,但是仍使用会话状态,则可以通过以下方法将应用程序配置为在 URL(而非 Cookie)中存储会话标识符:在应用程序的 Web.config 文件中将 sessionState 配置元素的 cookieless 属性设置为 true,或者设置为 UseUri。您可以通过指定cookieless 属性的 UseDeviceProfile 值,让 ASP.NET 确定浏览器是否支持 Cookie。您也可以为 cookieless 属性指定 AutoDetect 值,让 ASP.NET 确定是否为浏览器启用 Cookie。如果指定 UseDeviceProfile 后浏览器支持 Cookie,或指定 AutoDetect 后浏览器启用了 Cookie,则会话标识符将存储在 Cookie 中;否则它将存储在 URL 中。有关更多信息,请参见 IsCookieless 属性。
SessionID 在服务器和浏览器之间以纯文本的形式发送到 Cookie 或者 URL 中。在这种情况下,不必要代码可能会获取 SessionID 值并包含在发送至服务器的请求中,从而获权访问另一用户的会话。如果您需要在会话状态中存储专用或敏感信息,建议您使用 SSL 对浏览器和包含 SessionID 的服务器之间的任何通信进行加密。
使用基于 Cookie 的会话状态时,只有使用 Session 对象后,ASP.NET 才能分配会话数据存储。因此,在访问会话对象之前,会为每个页请求生成一个新的会话 ID。如果您的应用程序要求整个会话使用一个静态会话 ID,则可以实现应用程序的 Global.asax 文件中的 Session_Start 方法,并将数据存储在Session 对象中以修复会话 ID,或者可以在应用程序的其他部分使用代码将数据显式存储在 Session 对象中。
如果您的应用程序使用无 Cookie 会话状态,则在第一个页面视图上生成会话 ID,并在整个会话中保持。
