Оба Session.Clear() и Session.Abandon() избавляются от переменных сеанса. Насколько я понимаю, Abandon() завершает текущий сеанс и вызывает создание нового сеанса, в результате чего запускаются события End and Start.
Кажется предпочтительным вызывать Abandon() в большинстве случаев, например, регистрировать пользователя. Существуют ли сценарии, в которых я бы использовал Clear()? Есть ли разница в производительности?
Session.Abandon() уничтожает сеанс и запускается событие Session_OnEnd.
Session.Clear() только удаляет из объекта все значения (контент). Сеанс с тем же ключом все еще жив.
Итак, если вы используете Session.Abandon(), вы потеряете этот конкретный сеанс, и пользователь получит новый ключ сеанса. Вы можете использовать его, например, когда пользователь выходит из системы.
Используйте Session.Clear(), если вы хотите, чтобы пользователь оставался в одном сеансе (если вы не хотите, чтобы пользователь переводил, например) и reset все данные, относящиеся к сеансу.
Только использование Session.Clear(), когда пользователь выходит из системы, может представлять собой дыру в безопасности. Поскольку сеанс по-прежнему действителен в отношении веб-сервера. Тогда достаточно тривиально, чтобы обнюхать и захватить идентификатор сеанса, и захватить этот сеанс.
По этой причине при регистрации пользователя это было бы безопаснее и разумнее использовать Session.Abandon(), чтобы сеанс был разрушен, и новый сеанс был создан (даже если страница пользовательского интерфейса выхода из системы была частью новый сеанс, новый сеанс не будет содержать каких-либо деталей пользователей, а захват нового сеанса будет эквивалентен новому сеансу, поэтому он будет немым).
Я все еще не уверен, что пример реального мира, где вы бы использовали Session.Abondon(), Session.Clear().
Я могу понять... если пользователь нажимает вашу ссылку для выхода из системы и вы переносите их на страницу "Вы были выведены из системы".... их сеанс браузера продолжается, но вы хотите удалить информацию, хранящуюся в сессия. Если вы отменили сессию, то сразу же будет создан новый сеанс для страницы "Вы вышли из системы".
Session.Abandon уничтожает сеанс, как указано выше, поэтому вы должны использовать это при регистрации кого-то из них. Я думаю, что хорошее использование Session.Clear будет для корзины покупок на веб-сайте электронной торговли. Таким образом, корзина очищается, не выгружая пользователя.
У меня была эта проблема и я попробовал обоим, но мне пришлось решить, как удалить crap, как "pageEditState", но не удалять информацию о пользователе, чтобы я снова не искал ее.
public static void RemoveEverythingButUserInfo()
{
foreach (String o in HttpContext.Current.Session.Keys)
{
if (o != "UserInfoIDontWantToAskForAgain")
keys.Add(o);
}
}