asp.net 2.0 下的表单验证Cookieless属性

在不支持Cookies的移动设备模拟器中无法正常进行表单验证,联想到昨天使用web.config设置cookieless属性时会在访问时会出现"Cannot use a leading .. to exit above the top directory"的异常,自然而然的我就想到了前一段时间困扰我很久的一个站点异常无法使用前导 .. 在顶级目录上退出(Cannot use a leading .. to exit above the top directory)。综合一下，终于理解了为什么会出现这样的异常，也理解了为什么在asp.net 2.0 中，将原来cookieless属性只能设置true|false，改成了可以设置枚举HttpCookieMode的值,分别为:AutoDetect,UseCookies,UseDeviceProfile,UseUri 。
如果对表单验证很有经验的朋友可能会很清楚，可以有两种方式来保存当前的SessionID和用户的验证票信息，分别是使用Cookie和在URL地址加上一串编码过的字符串来标识当前的SessionID和用户的验证票信息。第一种方式非常普遍，对于使用URI来标识当前SessionID和验证票，我相信如果不是特殊需要的话，相信很多人都会跟我一样还无法很好理解。我做了两个简单的页面，来模拟用户的验证过程。当我在web.config中设置cookieless="AutoDetect"时，就跟我们平常一样，登录的URL是：
http://localhost:1115/FormsAuthentication/Security/Default.aspx
而当我设置cookieless="UseUri"时，这时URL地址就变成了：
http://localhost:1115/FormsAuthentication/(F(V0-gEZNEzXUqevbOqKwNoBcMf6vBWnyNbdpa2UhZzrfOUkGPvyB91-9nFlnBDmCAgdpz4gJ6kq-QOVjbNsvKig2))/Security/Default.aspx 
在站点目录多了一级目录，这里的值就是当前会用户的验证票信息和SessionID信息。在某些场合，这样做是非常有意义的（或者是必须的），因为在不支持cookie环境下，你要去标识一个是否属于同一个会话，当前用户是否已验证过，等等与会话相关信息的时候就会变得异常的困难。
了解了这两个保存会话信息的方式后,我们再来讨论一下,asp.net team为什么把原来只能设置true | false的属性改成可以设置不同的枚举值.首先我们来看看这4个值的含意(在Windows Live Writer 不能画表格 :< ):
AutoDetect:自动检测客户端实际是否支持cookie再来决定使用两种方式中的哪一种(最佳适应)。
UseCookies:不管客户端是否支持cookie,反正都使用cookie来标识(第一种方式)。
UseDeviceProfile:根据设备文件来判断是否支持cookie,进而决定使用哪种方式。相信很多人都对这个概念很模糊，由于最近在研究WAP，所以对它有一