django Sessions用于任务关键型注册表单是否安全？

在使用django支持的会话时，设计任务关键型注册表单的最佳实践是什么

通常认为要求用户接受会话cookie可以吗

有什么建议可以最大限度地提高接受会话cookie的用户百分比吗

---

我们已经使用Django进行此操作近3年了，没有任何问题。当然，您希望从HTTPS页面上的表单开始，而不仅仅是提交到HTTPS——这会让人们感觉更安全

Django不像某些PHP平台那样玩“URL中的cookie”游戏，因此如果用户不接受cookie，它将无法工作

---

不要忘记，一旦你拥有了所有这些敏感数据，你就必须正确地处理它们。我们只在在线数据库中存储最后4位数字，这只是为了验证。其他一切都是通过与另一家为我们处理订阅管理的公司的后门连接来管理的。

不要尝试在自己的应用程序中处理信用卡。有各种各样的安全问题。我已经成功地使用了苏格兰皇家银行的Worldpay，但是还有很多其他的公司，它们都提供了良好的API

谢谢你的评论。关于信用卡处理的观点很好。我更关心的是饼干而不是信用卡。我改变了问题的措辞，以更清楚地反映这一点，它不再说“信用卡”。+1：我们所做的就是收集信息，让netbilling.com处理所有细节。（顺便说一句，上网并不便宜，但这个网站被Visa国际组织归类为“成人导向”，尽管它的目标受众是有固定关系的老年夫妇。唉。）我还有一个客户网站，它使用（过去时）PayPal进行订阅管理。。。真是一团糟。它不仅“感觉”更安全，而且更安全！（然后我可以在登录我的银行之前检查网站的签名，而不是在我发送了我的登录名+PIN之后…@Marcus:我的观点是正确的。）。信不信由你，我实际上不得不和一位顾客争论这个问题。我不知道他们是否认为使用HTTPS的页面服务器需要额外的费用，或者其他什么，但他们最初拒绝使用HTTPS来提供表单页面本身。使用“URL中的cookie”是一个危险的特性。假设用户通过简单地复制地址栏上的URL向其他人发送链接，任何单击该链接的人都将作为用户登录。你不想那样。@Luiz C:我完全同意你的看法！我是任何数量的家庭和朋友的“免费”客户支持，我已经记不清他们中有多少人会询问我对某个极客事物（tm）的意见，然后向我发送购物车的URL。即使URL包含cookie（大多数情况下不包含cookie），这也很少起作用，因为站点试图保护自己免受劫持会话的攻击，等等@Peter Rowell:当跟踪会话的唯一对象是URL时，站点如何保护自己免受劫持会话的攻击？这意味着有另一种方法可以知道用户是谁。