Kann ich eine ASP.Net session-ID in einem versteckten Formularfeld?

Ich bin mit der Yahoo-Uploader, die Teil der Yahoo UI-Bibliothek, auf meinem ASP.Net website, um Benutzern das hochladen von Dateien. Für diejenigen, die nicht, der uploader arbeitet mit einem Flash-applet, um mir mehr Kontrolle über den FileOpen-dialog. Ich kann geben Sie einen filter für die Datei-Typen können mehrere Dateien ausgewählt werden, etc. Es ist toll, aber es hat die folgenden dokumentierte Einschränkung:

Aufgrund eines bekannten Flash-bug, der Uploader läuft in Firefox in Windows sendet nicht die richtigen cookies mit dem upload, anstatt Firefox cookies, sendet Internet Explorer die cookies für die entsprechende domain. Als workaround empfehlen wir entweder die Verwendung einer cookieless-upload-Methode oder Dokument Anhängen.cookie, um die upload-Anfrage.

So, wenn ein Benutzer mit Firefox, ich kann nicht auf cookies angewiesen, um fortbestehen Ihrer Sitzung, wenn Sie eine Datei hochladen. Ich brauche Ihre Sitzung, weil ich muss wissen, wer Sie sind! Als workaround bin ich mit dem Application-Objekt folgendermassen:

Guid UploadID = Guid.NewGuid();
Application.Add(Guid.ToString(), User);

So, ich bin momentan dabei, eine eindeutige ID und verwenden Sie es als Schlüssel zum speichern der Page.User Objekt in den Anwendungsbereich. Ich habe gehört, dass ID als variable in die POST, wenn die Datei hochgeladen ist. Dann, in der Prozedur, akzeptiert die Datei hochladen, ich grab das User-Objekt folgendermassen:

IPrincipal User = (IPrincipal)Application[Request.Form["uploadid"]];

Dies tatsächlich funktioniert, hat es aber zwei eklatante Nachteile:

  • Wenn IIS app pool, oder auch nur die Anwendung neu gestartet wird zwischen der Zeit, die der Nutzer besucht die Seite hochladen, und tatsächlich lädt eine Datei hoch, deren "uploadid" gelöscht Anwendungsbereich und der upload schlägt fehl, weil ich nicht authentifizieren kann Ihnen.

  • Wenn ich je Skala zu einem web-farm (vielleicht sogar einem web-garden-Szenario, wird dies vollständig zu brechen. Ich könnte nicht besorgt sein, es sei denn, ich Plane auf die Skalierung dieser app in der Zukunft.

Hat jemand eine bessere Möglichkeit? Gibt es eine Möglichkeit, für mich zu passieren, die tatsächliche ASP.Net session-ID in einer POST-variable, dann verwenden Sie die ID am anderen Ende zum abrufen der session?

Ich weiß, ich kann get die session-ID durch Session.SessionID, und ich weiß, wie Sie YUI, um es auf der nächsten Seite. Was ich nicht weiß ist, wie zu verwenden, dass SessionID zu greifen, die Sitzung von der state-server.

Ja, ich bin mit der state-server zum speichern der Sitzungen, so dass Sie fortbestehen Anwendung/IIS neu gestartet, und arbeiten in einer web-farm-Szenario.

InformationsquelleAutor Josh Hinman | 2008-09-04
  1. 4

    Hier ist ein post von dem Betreuer des SWFUpload, die erklärt, wie laden Sie die Sitzung aus einer ID gespeichert, die in der Anfrage.Form. Ich kann mir vorstellen das gleiche würde für die Yahoo-Komponente.

    Hinweis: die Sicherheit Disclaimer am unteren Rand der post.

    Durch eine Globale.asax-Datei und den folgenden code können Sie überschreiben die fehlenden Session-ID-cookie:

    using System;
using System.Web;

public class Global_asax : System.Web.HttpApplication
{
    private void Application_BeginRequest(object sender, EventArgs e)
    {
        /* 
        Fix for the Flash Player Cookie bug in Non-IE browsers.
        Since Flash Player always sends the IE cookies even in FireFox
        we have to bypass the cookies by sending the values as part of the POST or GET
        and overwrite the cookies with the passed in values.

        The theory is that at this point (BeginRequest) the cookies have not been ready by
        the Session and Authentication logic and if we update the cookies here we'll get our
        Session and Authentication restored correctly
        */

        HttpRequest request = HttpContext.Current.Request;

        try
        {
            string sessionParamName = "ASPSESSID";
            string sessionCookieName = "ASP.NET_SESSIONID";

            string sessionValue = request.Form[sessionParamName] ?? request.QueryString[sessionParamName];
            if (sessionValue != null)
            {
                UpdateCookie(sessionCookieName, sessionValue);
            }
        }
        catch (Exception ex)
        {
            //TODO: Add logging here.
        }

        try
        {
            string authParamName = "AUTHID";
            string authCookieName = FormsAuthentication.FormsCookieName;

            string authValue = request.Form[authParamName] ?? request.QueryString[authParamName];
            if (authValue != null)
            {
                UpdateCookie(authCookieName, authValue);
            }
        }
        catch (Exception ex)
        {
            //TODO: Add logging here.
        }
    }

    private void UpdateCookie(string cookieName, string cookieValue)
    {
        HttpCookie cookie = HttpContext.Current.Request.Cookies.Get(cookieName);
        if (cookie == null)
        {
            HttpCookie newCookie = new HttpCookie(cookieName, cookieValue);
            Response.Cookies.Add(newCookie);
        }
        else
        {
            cookie.Value = cookieValue;
            HttpContext.Current.Request.Cookies.Set(cookie);
        }
    }
}

    Sicherheit Warnung: nicht einfach kopieren und fügen Sie diesen code in Ihre ASP.Net Anwendung, ohne zu wissen, was Sie tun. Es führt Sicherheits-Probleme und Möglichkeiten von Cross-site-Scripting.

    • Das ist genau das, was ich suchte. Danke!
    • Hey...der link scheint kaputt zu sein..kann das u-update?
    • ja, das brauchen wir! bitte geben Sie einen neuen link!
    • JA! Brauchen Sie einen neuen link.
    • Vereinbart. Dies ist möglicherweise die Antwort auf mein Aktuelles problem.
    • Fand den link auf in der wayback machine
    • würde es helfen, wenn Sie konnten, Bearbeiten Sie die Antwort, die relevanten text

    InformationsquelleAutor
  2. 1

    Können Sie Ihre aktuelle SessionID aus dem folgenden code:

    string sessionId = HttpContext.Current.Session.SessionID;

    Dann können Sie füttern, die in einem hidden-Feld vielleicht, und dann auf diesen Wert zugreifen, durch YUI.

    Ist es nur eine bekommen, so dass Sie hoffentlich keine Skalierung Probleme. Security-Probleme allerdings, das weiß ich nicht.

    InformationsquelleAutor Seb Nilsson
  3. 1

    Sich auf in diesem blog-post, hier ist eine Funktion, die bekommen sollten Sie die Sitzung für alle Benutzer anhand der session-ID, aber es ist nicht schön:

    public SessionStateStoreData GetSessionById(string sessionId)
{
    HttpApplication httpApplication = HttpContext.ApplicationInstance;

    //Black magic #1: getting to SessionStateModule
    HttpModuleCollection httpModuleCollection = httpApplication.Modules;
    SessionStateModule sessionHttpModule = httpModuleCollection["Session"] as SessionStateModule;
    if (sessionHttpModule == null)
    {
        //Couldn't find Session module
        return null;
    }

    //Black magic #2: getting to SessionStateStoreProviderBase through reflection
    FieldInfo fieldInfo = typeof(SessionStateModule).GetField("_store", BindingFlags.NonPublic | BindingFlags.Instance);
    SessionStateStoreProviderBase sessionStateStoreProviderBase = fieldInfo.GetValue(sessionHttpModule) as SessionStateStoreProviderBase;
    if (sessionStateStoreProviderBase == null)
    {
        //Couldn't find sessionStateStoreProviderBase
        return null;
    }

    //Black magic #3: generating dummy HttpContext out of the thin air. sessionStateStoreProviderBase.GetItem in #4 needs it.
    SimpleWorkerRequest request = new SimpleWorkerRequest("dummy.html", null, new StringWriter());
    HttpContext context = new HttpContext(request);

    //Black magic #4: using sessionStateStoreProviderBase.GetItem to fetch the data from session with given Id.
    bool locked;
    TimeSpan lockAge;
    object lockId;
    SessionStateActions actions;
    SessionStateStoreData sessionStateStoreData = sessionStateStoreProviderBase.GetItem(
        context, sessionId, out locked, out lockAge, out lockId, out actions);
    return sessionStateStoreData;
}
    • Perfekt! Danke!!!
    InformationsquelleAutor Pluto
  4. 0

    Den ASP.Net die Session-ID wird gespeichert in Session.SessionID so könnten Sie festlegen, dass in einem versteckten Feld und dann schreiben Sie es auf die nächste Seite.

    Allerdings denke ich, dass, wenn die Anwendung neu gestartet wird, wird die sessionID abläuft, wenn Sie nicht speichern Sie Ihre Sitzungen in sql server.

    InformationsquelleAutor Espo
Schreibe einen Kommentar