关于ajax护持用户登陆状态
日期:2014-05-16 浏览次数:20823 次
关于ajax保持用户登陆状态
我一直担心的是使用ajax来调用服务器页面会导致恶意用户的攻击.因为当其获取AJAX请求的链接的时候可以直接通过各种方式请求该链接.该链接常常可能通过一些参数就能获取相应的信息,比如说通过用户名就能获取该用户的各种信息.但事实上,我在服务器端如何验证这条验证是在合法用户登陆期间所发出的呢?用session吗?因为SESSION信息在客户端是保存在COOKIE里的,当用户发起链接请求的时候就会把COOKIE一起发送到服务器,那么服务器就可以按照一般的方式对用户登陆状态进行验证.那这个就实现了想要的功能.但我真的不知道,这样子做会有什么潜在的危险?除了钓鱼攻击,即恶意用户伪造或者获取某个合法用户的SESSIONID后添加在请求的头部的COOKIE中.
我一直担心的是使用ajax来调用服务器页面会导致恶意用户的攻击.因为当其获取AJAX请求的链接的时候可以直接通过各种方式请求该链接.该链接常常可能通过一些参数就能获取相应的信息,比如说通过用户名就能获取该用户的各种信息.但事实上,我在服务器端如何验证这条验证是在合法用户登陆期间所发出的呢?用session吗?因为SESSION信息在客户端是保存在COOKIE里的,当用户发起链接请求的时候就会把COOKIE一起发送到服务器,那么服务器就可以按照一般的方式对用户登陆状态进行验证.那这个就实现了想要的功能.但我真的不知道,这样子做会有什么潜在的危险?除了钓鱼攻击,即恶意用户伪造或者获取某个合法用户的SESSIONID后添加在请求的头部的COOKIE中.
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
