Javascript 将信息存储在cookie中,以及对其他域的cookie操作
我们有一个面向公众的网站,用户可以使用电子邮件地址登录。 用户登录后,我们使用唯一生成的Javascript 将信息存储在cookie中,以及对其他域的cookie操作,javascript,html,authentication,cookies,session-cookies,Javascript,Html,Authentication,Cookies,Session Cookies,我们有一个面向公众的网站,用户可以使用电子邮件地址登录。 用户登录后,我们使用唯一生成的会话id和用户详细信息(如电子邮件地址、名称等)填充该域的cookies,并根据这些信息对服务器进行其他调用,如getUserProfile等 但是问题是,任何用户都可以更改其主机文件,并编写一个简单的Servlet来创建我的域的cookies,并相应地在cookies中设置任意随机会话id和用户详细信息,然后可以自动登录 在客户端方面,我如何保持适当的会话id是正确的。如果我在一些缓存框架(如memcach
会话id
和用户详细信息(如电子邮件地址、名称等)填充该域的cookies
,并根据这些信息对服务器进行其他调用,如getUserProfile等
但是问题是,任何用户都可以更改其主机文件,并编写一个简单的Servlet
来创建我的域的cookies
,并相应地在cookies
中设置任意随机会话id
和用户详细信息,然后可以自动登录
在客户端方面,我如何保持适当的会话id
是正确的。如果我在一些缓存框架(如memcache
)的后端维护会话id
,那么每次点击网站上的每个页面都会点击服务器,这不是我想要的
如何绕过此问题并确保欺诈用户在更改其主机文件后无法设置我的cookies
在客户端,我如何保持适当的会话id是正确的
你不能。浏览器由用户控制。您可以控制服务器。您只能在服务器上执行身份验证。这是否意味着对网站的每个页面的每次调用都应该验证会话id是否正确?@Tuco-仅适用于用户身份重要的会话id。显示购物篮中的物品?对展示你的T&C?不