所以,我在大约6年前编写了一些软件,即将发布2.0版本。最近,人们一直在抱怨一个客户的数据已经转移到另一个客户。罪魁祸首 - 使用多个标签打开,但浏览器共享一个会话。 (我有一个“哦,顺便说一句,这已经发生了一段时间了......”)
幸运的是,在我发布2.0之前我已经意识到了。我的解决方案是在登录时创建一个随机的session_name。然后,此名称将不断发布或发送到应用程序中的其他页面。它很棒。缺点是,有人可以查看源代码并查看<input type="hidden" name="session" value="LSDT2341335054" />之类的内容。更不用说生成的报告(使用GET)将在URL中显示“&amp; session = LSDT2341335054”。
这是一个非常快速的解决方案,它运行良好,但我找不到更好的东西。我独自工作,所以没有任何类型的魔鬼的拥护者。除了有点草率之外,他们对这种方法有任何真正的风险吗?仅仅因为我看不出这个问题,并不意味着它们不存在。
谢谢,戴夫
答案 0 :(得分:0)
那么,这个新系统不是上一个会话系统之上的额外层,用户只能看到自己的会话标识符吗?
无法真正看到这个问题,这里看起来非常安全,让我想起在facebook消息中使用的东西等。
正如deceze所说,你可以使用cookies并检查值匹配或类似的方法。