如果某个站点使用根据best practices defined here设置的持久登录功能,那么在帐户创建步骤中删除持久登录cookie是否存在任何潜在的安全问题? (在验证服务器上的新帐户数据后立即。)该站点不要求用户通过电子邮件链接验证新帐户。
答案 0 :(得分:1)
我不明白为什么不 - 用户只是输入了他们的密码,毕竟,你再也没有得到任何东西。
答案 1 :(得分:1)
只要你在注册后给他们的cookie是新的,那就没问题了。我怀疑这是罕见的,因为大多数地方都进行电子邮件验证。
答案 2 :(得分:1)
如果这符合您的需求,那么就没有技术理由阻止您丢弃持久性cookie。假设您要执行此操作以使用户在浏览器重新启动等之间保持登录状态。
请谨慎行事,在t'internet上,没有某种验证/确认的整个帐户激活都可以利用 - 只要你已经权衡了这些风险,那么我认为没有问题。