session_regenerate_id和Chrome预取/渲染问题

时间:2014-09-23 13:06:21

标签: php google-chrome session session-cookies prerender

我遇到了一些会话功能以及Chrome预取/呈现方式的问题。我试图将一个论坛软件(esoTalk)与自定义laravel 4.3应用程序连接。我有认证事件监听器,导致laravel创建一个php会话(此外还有内置的laravel会话),允许论坛和应用程序共享身份验证详细信息。在访问论坛时,如果用户未登录 - 但此共享信息存在(即用户已登录laravel应用程序),论坛将使用会话中提供的信息登录该用户。

在大多数情况下,这项工作正常,但Chromes预取似乎正在破坏事物。如果我使用调试器监控论坛,我可以看到,当我输入论坛网址但在我点击之前输入chrome将访问论坛。通过调试器,我可以看到它完成了它需要做的所有事情,并且成功登录。作为最后一步,论坛重新生成会话ID以停止劫持。这就是它破裂的地方。看起来chrome忽略了新的会话ID(通过http SetCookie标头发送),这样当我点击Enter时,我会使用原始会话ID进入论坛(并发出一个全新的请求)。此ID不存在,因此我设置了一个新的ID,因此失去了我的登录状态。对用户来说,这看起来好像从未登录过。

我搜索了高低,以获得有关如何解决此问题的建议。我不愿意删除会话ID重新生成,因为它确实用于安全目的。我也无法禁用chrome预取/渲染。总而言之,我似乎有点腌渍。

我创建了一些复制它的代码。虽然它依赖于预渲染(因此你需要多次通过地址栏点击每个文件)

// test1.php

<?php

function regenerateToken()
{
    session_regenerate_id(true);
    $_SESSION["token"] = substr(md5(uniqid(rand())), 0, 13);
    $_SESSION["userAgent"] = md5($_SERVER["HTTP_USER_AGENT"]);
}

// Start a session.
session_set_cookie_params(0, '/');
session_name("SessionBork_Test_session");
session_start();

$_SESSION["SentryUserId"] = '99';

regenerateToken();

header('Content-Type: text/plain');
foreach ($_SESSION as $k => $v) {
    echo $k . " = " . $v . "\n";
}

访问test1.php后跟test2.php,你应该看到一堆会话变量输出。一旦预渲染/取出,你就会开始收到破碎的消息。

// test2.php
<?php

function regenerateToken()
{
    session_regenerate_id(true);
    $_SESSION["token"] = substr(md5(uniqid(rand())), 0, 13);
    $_SESSION["userAgent"] = md5($_SERVER["HTTP_USER_AGENT"]);
}

// Start a session.
session_set_cookie_params(0, '/');
session_name("SessionBork_Test_session");
session_start();

if (empty($_SESSION["token"])) regenerateToken();

// Complicate session highjacking - check the current user agent against the one that initiated the session.
if (md5($_SERVER["HTTP_USER_AGENT"]) != $_SESSION["userAgent"])
    session_destroy();

// Log in a the user based on the SentryUserId
// ... logging in, setting userId, regenerating session
$_SESSION["userId"] = '10';
regenerateToken();

header('Content-Type: text/plain');
foreach ($_SESSION as $k => $v) {
    echo $k . " = " . $v . "\n";
}
if ( ! isset($_SESSION['SentryUserId'])) echo "\n--\nPrerendering brokeded me.";

如果你可以在IDE或某些东西中将它连接到xdebug,你应该看到隐藏的prerender命中test2.php(在响应中看起来绝对正确)然后当你按下回车键时随后的实际命中它忘记了你是谁。

0 个答案:

没有答案
相关问题
最新问题