提示
阅读本文,要求对虚拟主机、ASP、Session、Cookie、IIS应用程序池和互联网安全有一定的认识和了解。
知识
Session:保存在服务器端,普通人无法修改和伪造,但是会占用服务器资源,默认超时为20分钟。
Cookie:默认无生存期限(即不通过ASP程序设定Cookie的expired属性),关闭浏览器会自动失效;是否可用,取决于客户端对浏览器的安全设置(可以设置浏览器禁用Cookie,不过,通常情况下,一般人不会禁用Cookie);设置生存期限后,其会以文件方式保存在电脑上,以备下次取用,如B2C网站的购物车、论坛登录;主要的安全威胁来自于Cookie欺骗和Cookie验证不足。
应用程序池:工作进程回收方式有两种,这两种回收方式均不会造成Web服务的中断。1.默认情况下,应用程序池使用重叠回收方式,在这种方式下,当应用程序池要关闭某个工作进程时,会先创建一个工作进程,直到新的工作进程成功创建后才关闭旧的工作进程。2.应用程序池也可以先关闭旧的工作进程,然后再创建新的工作进程。
平台
Windows Server 2003,IIS 6.0,ASP。
前言
这个问题已经存在很久了,一直未找到根本的解决办法。通过在搜索引擎中查询的资料来看,这个问题很普遍,且没有得到终终解决。
一些客户经常抱怨网站后台帐户登录成功后不出几分钟就超时了,影响其发布、阅读信息——有些客户是直接在网站后台中录入上百、上千字内容的。看来,不解决这个问题是不行了。
原因
一些开发者的结论是Session会话时间太短(默认20分钟)、ASP脚本运行超时(默认90秒)、ASP程序代码有错、网站遭到攻击、服务器及网络异常、IIS应用程序池回收时间过快等原因,我并不认为都是这样。经过整理网上搜索到的资料并加以分析,我估计是IIS应用程序池的问题,我据此通过两次电话向主机服务商的网络管理员反馈了Session不到10分钟就超时的情况。
对方透露:一台物理服务器划分为几十个或上百个虚拟主机,4-10个虚拟主机共用一个IIS应用程序池,回收时间为15-17个小时左右,不限内存回收(称内存平时使用率低于30%,故不限),Session会话时间为20分钟。但是,如果一个应用程序池中的某个网站因严重地占用资源或出现异常,那么机房的技术工程师会通过手工方式释放一次应用程序池(回收工作进程)。很显然,共用该应用程序池的其它网站同时受到了影响,Session此时已经失效,可以理解为丢失、清除、清空,客户在操作网站后台时刚好在此时赶上了这个事件,所以帐户就“超时”了。
对方称,这种情况并不是经常发生的,粗略估计,每个应用程序池要好几天、十几天才做一次手工回收,当然,应用程序池的回收是依据网站的运行情况来定的,存在不确定性,无法得出“平均多少天回收一次”。
选择
这比较困难。
采用Session保存和验证帐户是可行的,其有20分钟的会话时间。另外,还可以通过后台的top.asp包含一个
