route - Generando una nueva sesión de ASP.NET en el HTTPContext actual
partial views asp net mvc (5)
Como resultado de una prueba de penetración en contra de algunos de nuestros productos en la tubería, lo que parecía ser en ese momento un problema ''fácil'' de arreglar está resultando difícil.
No es que deba hacerlo, por supuesto, me refiero a por qué sería tan difícil generar una nueva sesión para el HTTPContext
actual . ¡Extraño! De todos modos, escribí una pequeña clase útil de utilidad para "simplemente hazlo":
(disculpas por el formato del código / resaltar / Visual Basic debo estar haciendo algo mal)
Imports System.Web
Imports System.Web.SessionState
Public Class SwitchSession
Public Shared Sub SetNewSession(ByVal context As HttpContext)
'' This value will hold the ID managers action to creating a response cookie
Dim cookieAdded As Boolean
'' We use the current session state as a template
Dim state As HttpSessionState = context.Session
'' We use the default ID manager to generate a new session id
Dim idManager As New SessionIDManager()
'' We also start with a new, fresh blank state item collection
Dim items As New SessionStateItemCollection()
'' Static objects are extracted from the current session context
Dim staticObjects As HttpStaticObjectsCollection = _
SessionStateUtility.GetSessionStaticObjects(context)
'' We construct the replacement session for the current, some parameters are new, others are taken from previous session
Dim replacement As New HttpSessionStateContainer( _
idManager.CreateSessionID(context), _
items, _
staticObjects, _
state.Timeout, _
True, _
state.CookieMode, _
state.Mode, _
state.IsReadOnly)
'' Finally we strip the current session state from the current context
SessionStateUtility.RemoveHttpSessionStateFromContext(context)
'' Then we replace the assign the active session state using the replacement we just constructed
SessionStateUtility.AddHttpSessionStateToContext(context, replacement)
'' Make sure we clean out the responses of any other inteferring cookies
idManager.RemoveSessionID(context)
'' Save our new cookie session identifier to the response
idManager.SaveSessionID(context, replacement.SessionID, False, cookieAdded)
End Sub
End Class
Funciona bien para el resto de la solicitud, y se identifica correctamente como la nueva sesión (por ejemplo, HTTPContext.Current.Session.SessionID
devuelve el identificador de sesión recién generado).
Sorpresa sorpresa entonces, que cuando la próxima solicitud llega al servidor, HTTPContext.Session
(un objeto HTTPSessionState
) se identifica con el SessionID
correcto, pero tiene IsNewSession
establecido en True
y está vacío, perdiendo todos los valores de sesión establecidos en la solicitud anterior .
Entonces, debe haber algo especial sobre el objeto HTTPSessionState
anterior que se elimina de la solicitud inicial, un controlador de eventos aquí, una devolución de llamada allí, algo que maneja la persistencia de los datos de la sesión entre las solicitudes, o simplemente algo que me falta.
¿Alguien tiene magia para compartir?
¿Ha considerado utilizar el método HttpSessionState.Abandon ? Eso debería limpiar todo. Luego inicie una nueva sesión y rellene con todos los elementos almacenados desde su código anterior.
Session.Abandon();
debería ser suficiente. De lo contrario, podría tratar de hacer un esfuerzo adicional con unas pocas llamadas más si todavía es obstinado:
Session.Contents.Abandon();
Session.Contents.RemoveAll();
¿No puedes simplemente establecer:
<sessionState regenerateExpiredSessionId="False" />
en web.config, y luego usar la solución sugerida por Ahmad?
Como mencionó Can Gencer, ReleaseItemExclusive no elimina la sesión anterior de la tienda y eso lleva a que esa sesión expire y llame a Session_End en Global.asax. Esto nos causó un gran problema en la producción, porque estamos borrando la identidad del subproceso en Session_End, y debido a esto, los usuarios estaban perdiendo espontáneamente la autenticación en el hilo.
A continuación se muestra el código corregido que funciona.
Dim oHTTPContext As HttpContext = HttpContext.Current
Dim oSessionIdManager As New SessionIDManager
Dim sOldId As String = oSessionIdManager.GetSessionID(oHTTPContext)
Dim sNewId As String = oSessionIdManager.CreateSessionID(oHTTPContext)
Dim bIsRedir As Boolean = False
Dim bIsAdd As Boolean = False
oSessionIdManager.SaveSessionID(oHTTPContext, sNewId, bIsRedir, bIsAdd)
Dim oAppContext As HttpApplication = HttpContext.Current.ApplicationInstance
Dim oModules As HttpModuleCollection = oAppContext.Modules
Dim oSessionStateModule As SessionStateModule = _
DirectCast(oModules.Get("Session"), SessionStateModule)
Dim oFields() As FieldInfo = _
oSessionStateModule.GetType.GetFields(BindingFlags.NonPublic Or _
BindingFlags.Instance)
Dim oStore As SessionStateStoreProviderBase = Nothing
Dim oRqIdField As FieldInfo = Nothing
Dim oRqItem As SessionStateStoreData = Nothing
Dim oRqLockIdField As FieldInfo = Nothing
Dim oRqStateNotFoundField As FieldInfo = Nothing
For Each oField As FieldInfo In oFields
If (oField.Name.Equals("_store")) Then
oStore = DirectCast(oField.GetValue(oSessionStateModule), _
SessionStateStoreProviderBase)
End If
If (oField.Name.Equals("_rqId")) Then
oRqIdField = oField
End If
If (oField.Name.Equals("_rqLockId")) Then
oRqLockIdField = oField
End If
If (oField.Name.Equals("_rqSessionStateNotFound")) Then
oRqStateNotFoundField = oField
End If
If (oField.Name.Equals("_rqItem")) Then
oRqItem = DirectCast(oField.GetValue(oSessionStateModule), _
SessionStateStoreData)
End If
Next
If oStore IsNot Nothing Then
Dim oLockId As Object = Nothing
If oRqLockIdField IsNot Nothing Then
oLockId = oRqLockIdField.GetValue(oSessionStateModule)
End If
If (oLockId IsNot Nothing) And (Not String.IsNullOrEmpty(sOldId)) Then
oStore.ReleaseItemExclusive(oHTTPContext, sOldId, oLockId)
oStore.RemoveItem(oHTTPContext, sOldId, oLockId, oRqItem)
End If
oRqStateNotFoundField.SetValue(oSessionStateModule, True)
oRqIdField.SetValue(oSessionStateModule, sNewId)
End If
Me gustaría compartir mi magia. En realidad, no, aún no es mágico. Deberíamos probar y evolucionar más el código. Solo probé estos códigos en-cookie, modo de sesión InProc. Coloque estos métodos dentro de su página y llámelos a donde necesite que se regenere el ID (configure su aplicación web como Confianza total):
void regenerateId()
{
System.Web.SessionState.SessionIDManager manager = new System.Web.SessionState.SessionIDManager();
string oldId = manager.GetSessionID(Context);
string newId = manager.CreateSessionID(Context);
bool isAdd = false, isRedir = false;
manager.SaveSessionID(Context, newId, out isRedir, out isAdd);
HttpApplication ctx = (HttpApplication)HttpContext.Current.ApplicationInstance;
HttpModuleCollection mods = ctx.Modules;
System.Web.SessionState.SessionStateModule ssm = (SessionStateModule)mods.Get("Session");
System.Reflection.FieldInfo[] fields = ssm.GetType().GetFields(BindingFlags.NonPublic | BindingFlags.Instance);
SessionStateStoreProviderBase store = null;
System.Reflection.FieldInfo rqIdField = null, rqLockIdField = null, rqStateNotFoundField = null;
foreach (System.Reflection.FieldInfo field in fields)
{
if (field.Name.Equals("_store")) store = (SessionStateStoreProviderBase)field.GetValue(ssm);
if (field.Name.Equals("_rqId")) rqIdField = field;
if (field.Name.Equals("_rqLockId")) rqLockIdField = field;
if (field.Name.Equals("_rqSessionStateNotFound")) rqStateNotFoundField = field;
}
object lockId = rqLockIdField.GetValue(ssm);
if ((lockId != null) && (oldId !=null)) store.ReleaseItemExclusive(Context, oldId, lockId);
rqStateNotFoundField.SetValue(ssm, true);
rqIdField.SetValue(ssm, newId);
}
He estado investigando el código fuente .NET (que estaba disponible en http://referencesource.microsoft.com/netframework.aspx ), y descubrí que no hay forma de que pueda regenerar SessionID sin hackear las funciones internas del mecanismo de administración de la sesión. Así que lo hago: piratear los campos internos de SessionStateModule, por lo que guardará la sesión actual en una nueva ID. Quizás el objeto HttpSessionState actual todavía tenga el Id anterior, pero AFAIK el SessionStateModule lo ignoró. Solo usa el campo _rqId interno cuando tiene que guardar el estado en alguna parte. He intentado con otros medios, como copiar SessionStateModule en una nueva clase con una funcionalidad regenerada de ID, (estaba planeando reemplazar SessionStateModule con esta clase), pero fallado porque actualmente tiene referencias a otras clases internas (como InProcSessionStateStore). La desventaja de la piratería mediante el uso de la reflexión es que debemos establecer nuestra aplicación en ''Confianza total''.
Ah, y si realmente necesitas la versión VB, prueba estos:
Sub RegenerateID()
Dim manager
Dim oldId As String
Dim newId As String
Dim isRedir As Boolean
Dim isAdd As Boolean
Dim ctx As HttpApplication
Dim mods As HttpModuleCollection
Dim ssm As System.Web.SessionState.SessionStateModule
Dim fields() As System.Reflection.FieldInfo
Dim rqIdField As System.Reflection.FieldInfo
Dim rqLockIdField As System.Reflection.FieldInfo
Dim rqStateNotFoundField As System.Reflection.FieldInfo
Dim store As SessionStateStoreProviderBase
Dim field As System.Reflection.FieldInfo
Dim lockId
manager = New System.Web.SessionState.SessionIDManager
oldId = manager.GetSessionID(Context)
newId = manager.CreateSessionID(Context)
manager.SaveSessionID(Context, newId, isRedir, isAdd)
ctx = HttpContext.Current.ApplicationInstance
mods = ctx.Modules
ssm = CType(mods.Get("Session"), System.Web.SessionState.SessionStateModule)
fields = ssm.GetType.GetFields(System.Reflection.BindingFlags.NonPublic Or System.Reflection.BindingFlags.Instance)
store = Nothing : rqLockIdField = Nothing : rqIdField = Nothing : rqStateNotFoundField = Nothing
For Each field In fields
If (field.Name.Equals("_store")) Then store = CType(field.GetValue(ssm), SessionStateStoreProviderBase)
If (field.Name.Equals("_rqId")) Then rqIdField = field
If (field.Name.Equals("_rqLockId")) Then rqLockIdField = field
If (field.Name.Equals("_rqSessionStateNotFound")) Then rqStateNotFoundField = field
Next
lockId = rqLockIdField.GetValue(ssm)
If ((Not IsNothing(lockId)) And (Not IsNothing(oldId))) Then store.ReleaseItemExclusive(Context, oldId, lockId)
rqStateNotFoundField.SetValue(ssm, True)
rqIdField.SetValue(ssm, newId)
End Sub
Para MVC4 tenga este código:
System.Web.SessionState.SessionIDManager manager = new System.Web.SessionState.SessionIDManager();
HttpContext Context = System.Web.HttpContext.Current;
string oldId = manager.GetSessionID(Context);
string newId = manager.CreateSessionID(Context);
bool isAdd = false, isRedir = false;
manager.SaveSessionID(Context, newId, out isRedir, out isAdd);
HttpApplication ctx = (HttpApplication)System.Web.HttpContext.Current.ApplicationInstance;
HttpModuleCollection mods = ctx.Modules;
System.Web.SessionState.SessionStateModule ssm = (SessionStateModule)mods.Get("Session");
System.Reflection.FieldInfo[] fields = ssm.GetType().GetFields(BindingFlags.NonPublic | BindingFlags.Instance);
SessionStateStoreProviderBase store = null;
System.Reflection.FieldInfo rqIdField = null, rqLockIdField = null, rqStateNotFoundField = null;
foreach (System.Reflection.FieldInfo field in fields)
{
if (field.Name.Equals("_store")) store = (SessionStateStoreProviderBase)field.GetValue(ssm);
if (field.Name.Equals("_rqId")) rqIdField = field;
if (field.Name.Equals("_rqLockId")) rqLockIdField = field;
if (field.Name.Equals("_rqSessionStateNotFound")) rqStateNotFoundField = field;
}
object lockId = rqLockIdField.GetValue(ssm);
if ((lockId != null) && (oldId != null)) store.ReleaseItemExclusive(Context, oldId, lockId);
rqStateNotFoundField.SetValue(ssm, true);
rqIdField.SetValue(ssm, newId);