页面会话在5分钟内已经超时。但超时时我能对页面执行异步提交的操作照常进行。
只是不触发其它事件,页面就不会强制退出。
1.
当然前提是我的身份验证没有写在每个方法里,也没有检查与验证我的异步提交方法(如请求时先验证)。
2.
照1这样,这时浏览器似乎没有检查session会话哦。大家有碰过这样的问题吗?我今天的验证码是88888,所有一定要发个帖纪念一下。:)
可惜不能发图片,可惜我没有截图下来,更可惜我没有88888分与大家同享哦。
分不够?再加++++++++++
只是不触发其它事件,页面就不会强制退出。
1.
当然前提是我的身份验证没有写在每个方法里,也没有检查与验证我的异步提交方法(如请求时先验证)。
2.
照1这样,这时浏览器似乎没有检查session会话哦。大家有碰过这样的问题吗?我今天的验证码是88888,所有一定要发个帖纪念一下。:)
可惜不能发图片,可惜我没有截图下来,更可惜我没有88888分与大家同享哦。
分不够?再加++++++++++
1.
<httpHandlers> <add verb="POST,GET" path="ajaxpro/*.ashx" type="AjaxPro.AjaxHandlerFactory,AjaxPro"/></httpHandlers>
2.页面
<asp:TextBox ID="Txt_Summary" Runat="server" onchange="setAmount(this);" />
3.后台
[ajax method]
public object[] updatesomething()
{}
4.javascript前台调用
var a = abc.a.updatesomething();
display........如此而已,所以在更新与加入数据时,页面虽然已经过期,但我不碰其它的地方,只动这些事件触发AJAX方法,所有的更新与添加是可以进行的。呵呵,就是说这些方法没有触发页面的失效。一定要在这些方法中或是请求中手动判断过期。
哈哈,如果你是页面一次验证或是只在加载时验证,很可能有漏洞哦。
难道这个AJAX的HTTP请求没有安全验证会话,只是记住了在内存中代码的地址,只要没有被释放,就可以继续操作?
只是对于每个实例变量,对于每个会话,应该会产生唯一的变量哦,会话ID丢失了也能找到方法并执行?
就是说ajax躲过了加载时的验证,可能页面认为是重复提交所以没触发到验证,但没有了sessionid,IIS如何来找到页面来执行,关键是有些页面本身的属性变量并没有消失?没有人来上课啊,看来要结一个闷帖了。