在验证cookie的有效期问题上是非常有趣的,如果未规定在web.config中的<forms>元素的timeout属性的值,则cookie仅在用户机器上保留30分钟(这是在machine.config中得默认设置),或者保留到他们关闭浏览器为止。但是,额可以在<forms>元素中设置timeout属性覆盖此设置。这表示他们可以离开站点并在30分钟内返回,只要未关闭浏览器(或删除cookie)即可。当然,因为用户在站点内访问页,所以cookie会随着服务器的每次响应而不断更新,因此超时知识在最后一次访问页之后,在规定的时间内生效。但是,即使浏览器仍在运行,他们仍然必须在超时到期时离线,这较好的保证了安全性。