中信银行购车贷款政策:Session.Timeout = 5应该写在哪里?还有SessionID怎么用?

会话可以通过三种方式启动：

一个新用户请求访问一个 URL，该 URL 标识了某个应用程序中的 .asp 文件，并且该应用程序的 Global.asa 文件包含 Session_OnStart 过程。
用户在 Session 对象中存储了一个值。
用户请求了一个应用程序的 .asp 文件，并且该应用程序的 Global.asa 文件使用 <OBJECT> 标签创建带有会话作用域的对象的实例。
如果用户在指定时间内没有请求或刷新应用程序中的任何页，会话将自动结束。这段时间的默认值是 20 分钟。可以通过在 Internet 服务管理器中设置“应用程序选项”属性页中的“会话超时”属性改变应用程序的默认超时限制设置。应依据您的 Web 应用程序的要求和服务器的内存空间来设置此值。例如，如果您希望浏览您的 Web 应用程序的用户在每一页仅停留几分钟，就应该缩短会话的默认超时值。过长的会话超时值将导致打开的会话过多而耗尽您的服务器的内存资源。

对于一个特定的会话，如果您想设置一个小于默认超时值的超时值，可以设置 Session 对象的 Timeout 属性。例如，下面这段脚本将超时值设置为 5 分钟。

<% Session.Timeout = 5 %>
您也可以设置一个大于默认设置的超时值，Session.Timeout 属性决定超时值。

您也可以通过 Session 对象的 Abandon 方法显式结束一个会话。例如，在表格中提供一个“退出”按钮，将按钮的 ACTION 参数设置为包含下列命令的 .asp 文件的 URL 。

<% Session.Abandon %>

---------------------------------------------------------
关于 SessionID 和 Cookie
当用户第一次请求给定的应用程序中的 .asp 文件时，ASP 生成一个 SessionID。SessionID 是由一个复杂算法生成的号码，它唯一标识每个用户会话。在新会话开始时，服务器将 Session ID 作为一个 cookie 存储在用户的 Web 浏览器中。

SessionID 与钥匙很相似，当会话期间用户与应用程序交互时，ASP 可以将用户信息存储在服务器的一个“保险箱”中。正象用钥匙能存取保险箱中物品一样，通过在 HTTP 请求标题中发送的用户 SessionID cookie，就能够对该“保险箱”中的内容进行访问。每当 ASP 收到一个页请求时，就检查 HTTP 请求标题，以获得 SessionID cookie。

在将 SessionID cookie 存储于用户的浏览器之后，即使用户请求了另一个 .asp 文件，或请求了运行在另一个应用程序中的 .asp 文件，ASP 仍会重用该 cookie 跟踪会话。与此相似，如果用户故意放弃会话或让会话超时，然后再请求另一个 .asp 文件，那么 ASP 将以同一个 cookie 开始新的会话。只有当服务器管理员重新启动服务器或用户重新启动 Web 浏览器时，此时存储在内存中的 SessionID 设置将被清除,用户将会获得新的 SessionID cookie。

通过重用 SessionID cookie，ASP 将发送给用户浏览器的 cookie 数量降为最低。另外，如果您决定您的 ASP 应用程序不需要会话管理，就可以不让 ASP 跟踪会话和向用户发送 SessionID 。