使用ajax请求保持会话活着是否安全?

时间:2012-03-01 23:56:04

标签: session master-pages keep-alive

我最近在我的母版页面中实现了一小段javascript,每30秒执行一次ajax请求以保持会话处于活动状态。我知道有几个关于保持活着的问题,但我真的无法找到这些具体问题的答案。

我的问题是:

  1. 这样做是否安全?如果存在许多并发用户/连接,是否会产生任何不利影响?

  2. 我可以使用此方法实现扩展超时,还是必须使用Cookie?

  3. 我对cookie知之甚少,但现在使用它们是否相对可以接受?或者是否会有不允许他们的用户 - 他们是否可以使用我的网站?

    4. 谢谢大家!

2 个答案:

答案 0 :(得分:7)

  1. 是的,这是安全的。就负载而言,这取决于您的硬件以及您如何编写它,但它没有比刷新页面的用户更糟糕的效果(可以说考虑到AJAX调用相对于标准页面加载的开销较少)。
  2. 您可以调整web.config中的超时时间,如果这就是您所要求的......
  3. 这是对你的个人电话。 Cookie有其目的,只要它是你的域名,我发现它们是可以接受的,但是确实有人禁用它们,所以它归结为回退。

    4. 有些事情要记住:

    1. 银行使用相同的方法在您检查财务状况时保持会话继续进行,但通常会在您之前提供弹出窗口,询问您是否愿意继续。
    2. 让用户强行登录超过正常持续时间可能会带来安全风险(图片有人登录图书馆或学校计算机并离开办公桌 - 如果会话继续进行到第二天[或更长时间] ])

答案 1 :(得分:0)

关于cookies,使用它是非常可以接受的。 几乎所有网站都在为用户保存cookie,他们必须这样做。 有些用户不允许他们,但是程序员可以通过改变浏览器的安全性来克服它(在这种情况下存在宪法问题)。 您可以在浏览器中查看网站是否保存cookie。

相关问题
最新问题