使用会话变量来；授权；Coldfusion中的页面引用器或远程CFC调用？

我正在考虑一些想法，试图解决表单和远程CFC安全问题，我想知道如何设置一个非常长/永久的会话持续时间并使用

if DateDiff("n", now(), session.lastactive) gt 15

---

在onRequest中处理会话超时。然后我可以在引用/调用页面中设置session.referer，并在表单处理程序或远程cfc中对其进行测试。我还没有读到关于它正在被实现的消息，所以可能有很好的理由不这样做？

我相信，您所描述的是ColdFusion 8和更高版本调用verifyClient中已经内置的一项功能

---

它将在呈现页面时创建令牌，然后验证令牌是否已发送到提交的页面。如果令牌未发送或不正确，调用将返回“客户端验证”错误。

我相信，您所描述的是ColdFusion 8和更高版本的调用验证客户端中已经内置的功能

---

它将在呈现页面时创建令牌，然后验证令牌是否已发送到提交的页面。如果令牌未发送或不正确，调用将返回“客户端验证”错误。

我不明白。这如何提供安全性？为什么要手动控制会话。ColdFusion已经为你做了。我看不出这有什么好处。对于您正在尝试的操作，可能已经有了一些机制。你能更具体地说明这是什么吗？我试图阻止的是表单处理程序或远程cfc被访问的位置，而不是我希望访问的网站上的页面。我认为不能欺骗的变量范围是会话范围之类的东西。如果提交页面传递了一个令牌，而处理页面正在查找该令牌，那么不会停止表单处理程序/ajax cfc的非现场使用吗？Jason的答案是正确的，因为它将验证请求是否确实来自您自己的应用程序。你应该把它标记为正确答案。虽然我没有听说过这是有原因的，但原因=轮子已经发明了：-）节省了很多时间！我不明白。这如何提供安全性？为什么要手动控制会话。ColdFusion已经为你做了。我看不出这有什么好处。对于您正在尝试的操作，可能已经有了一些机制。你能更具体地说明这是什么吗？我试图阻止的是表单处理程序或远程cfc被访问的位置，而不是我希望访问的网站上的页面。我认为不能欺骗的变量范围是会话范围之类的东西。如果提交页面传递了一个令牌，而处理页面正在查找该令牌，那么不会停止表单处理程序/ajax cfc的非现场使用吗？Jason的答案是正确的，因为它将验证请求是否确实来自您自己的应用程序。你应该把它标记为正确答案。虽然我没有听说过这是有原因的，但原因=轮子已经发明了：-）节省了很多时间！