我正在开发一个网上银行等金融应用程序。我想知道当用户浏览应用程序不包含的页面时可能出现的问题(例如google.com)。
我的客户希望我不要杀死会话,以便用户可以返回像facebook这样的应用程序
答案 0 :(得分:1)
我知道在线银行系统如果您使用浏览器导航功能,甚至会杀死会话。我不认为这是必不可少的,实际上我觉得这太过分了。当用户离开您的页面时杀死会话(并且不要忘记它不是真的安全,因为您需要JavaScript)可能没问题。但问题是:如果用户没有注销并离开PC,那么这只会有风险,所以其他人可以继续他的会话。如果它在离开页面后放弃会话更安全......很难说。我不认为很多人会很快离开网上银行系统。所以,我建议:注销用户(再次:由于JavaScript,你无法保证)。
更新:有个主意。您可以使用一些服务器端令牌,让您知道用户导航是否将页面导航或使用浏览器导航栏或地址栏。有了这个,你不需要JS,我认为这是安全的,但我不确定。在这种情况下,我会要求谷歌提供最佳实践。