我有一个在IIS7下运行的ASP.NET MVC应用程序.它使用默认的进程内会话管理,根据我读到的所有内容,在应用程序池回收后应该丢失用户的会话.

它似乎并没有失去它.即使IIS重置也不会丢失会话.

在IIS7中有什么改变使会话保持活动状态？ 最佳答案 这是由于cookie重放 – 会发生的情况是您的浏览器发送带有旧身份验证票证的cookie,该身份验证票据被接受为新会话,因为Web服务器不存储有效且过期的身份验证票据以供以后比较.如果恶意用户获得有效的表单身份验证cookie,这会使您的站点容易受到重播攻击.要在使用表单身份验证cookie时提高安全性,请参阅以下MSDN链接：

http://msdn.microsoft.com/en-us/library/system.web.security.formsauthentication.signout.aspx