使用:PHP,Symfony 1.4,Doctrine,sfGuard
我有一个网站,大多数网页可以缓存为完整的HTML网页。但是传统的“用户帐户工具栏”显示在大多数网站的右上角(显示登录的用户名,注销链接等)。
这显然会阻止页面完全缓存为HTML,因此我计划将页面作为标准HTML输出,并在页面加载后通过Javascript添加用户名等。
当用户登录时,我将创建一个仅存储用户名的额外cookie。然后,Javascript可以检查cookie是否存在并创建帐户工具栏。用户名仅用于显示目的。为了实际登录,用户必须通过正常的登录页面,使用他们的密码等。
我在这方面搜索了博客文章等但却找不到多少。任何人都可以识别出任何安全性或其他问题吗?
答案 0 :(得分:1)
只要用户名仅用于显示目的,您就应该是金色的。另外,您可以使用XHR从PHP的$ _SESSION中获取用户名。
我担心您将使用用户名对该用户进行身份验证。或者使用用户名作为访问缓存的密钥,通过更改用户名,攻击者可以访问另一个缓存。
答案 1 :(得分:0)
你永远不应该存储任何敏感的cookie。对我来说,这包括用户名。