日期:2014-05-16  浏览次数:20855 次

关于ajax保持用户登陆状态
我一直担心的是使用ajax来调用服务器页面会导致恶意用户的攻击.因为当其获取AJAX请求的链接的时候可以直接通过各种方式请求该链接.该链接常常可能通过一些参数就能获取相应的信息,比如说通过用户名就能获取该用户的各种信息.但事实上,我在服务器端如何验证这条验证是在合法用户登陆期间所发出的呢?用session吗?因为SESSION信息在客户端是保存在COOKIE里的,当用户发起链接请求的时候就会把COOKIE一起发送到服务器,那么服务器就可以按照一般的方式对用户登陆状态进行验证.那这个就实现了想要的功能.但我真的不知道,这样子做会有什么潜在的危险?除了钓鱼攻击,即恶意用户伪造或者获取某个合法用户的SESSIONID后添加在请求的头部的COOKIE中.