我目前正在构建自己的登录脚本,并注意到大多数会话ID或类似的注销页面都附加了get变量。
为什么他们这样做?
在logout.php上销毁会话并且不传入任何ID不仅安全/更容易吗?
答案 0 :(得分:1)
我无法想到为什么只有在退出时才需要添加get参数。
向URL添加一些令牌可以用于prevent abuse,或者当会话ID添加到URL时,也可以在客户端使用cookie时使会话工作。
<强>更新
然而,快速查看该文件显示了一个相当有趣的问题。它需要通过登录计算的签名呈现给用户以提交到登录页面。 据推测,这是作为CSRF保护的一种形式。 但是,它也会泄漏接管用户所需的数据。因此,到目前为止,我们遇到了第11个漏洞:
<强> UPDATE2
我问过ircmaxell in chat。而且这是因为CSRF的保护。