AJAX请求是否保留PHP会话信息?
如果我让一个用户登录到我的站点,将他的id存储在AJAX请求是否保留PHP会话信息?,php,ajax,session,Php,Ajax,Session,如果我让一个用户登录到我的站点,将他的id存储在$\u SESSION中,然后从他的浏览器中单击“保存”按钮,该按钮将向服务器发出AJAX请求。他的$\u会话和cookie是否会保留在此请求中,我是否可以安全地依赖$\u会话中存在的id?如果AJAX请求的PHP文件具有会话启动()会话信息将被保留。(将请求放在同一个域中)您真正得到的是:cookie是否随AJAX请求一起发送到?假设AJAX请求是到同一个域(或者在cookie的域约束范围内),答案是肯定的。因此,返回到同一服务器的AJAX请求确
$\u SESSION$\u会话$\u会话会话启动()从客户端,无论是常规请求还是AJAX请求,都会向服务器发送相同的cookie。Javascript代码不需要做任何特殊的事情,甚至不需要意识到这一点,它的工作原理与常规请求相同。但有一件事需要注意,特别是在使用框架时,检查应用程序是否在请求之间重新生成会话id-任何显式依赖于会话id的操作都会遇到问题,尽管会话中的其余数据显然不会受到影响
如果应用程序正在像这样重新生成会话id,那么最终可能会出现这样的情况:ajax请求实际上会使请求页面中的会话id无效/替换。框架就是这样做的,例如,如果您在Front Controller或boostrap脚本中初始化会话,您不必关心页面控制器或ajax控制器的初始化。PHP框架不是万能的,但它们可以做很多像这样有用的事情 嗯,不总是这样。使用cookies,你很好。但是“我可以安全地依赖当前的id吗?”这一问题促使我用一个重要的观点来扩展讨论(主要是供参考,因为本页的访问者数量似乎相当高) PHP可以配置为通过URL重写而不是cookie来维护会话。((在接受ajax请求的所有服务器端页面中放置会话()身份验证:
if(require_once("auth.php")) {
//run json code
}
// do nothing otherwise
这是我做这件事的唯一方法。我可能错了,但我认为甚至不可能将ajax请求发布到其他域(不包括子域)?您可能可以使用动态脚本技巧进行欺骗。但千万不要厌倦它。是的,不能向其他域发出ajax请求。但是,您可以在页面中动态插入一个标记,并将其src设置为与javascript相呼应的域外url。不能向其他域发出ajax请求。但是,您可以在php代码中创建一个代理。aj对代理的ax请求,对其他域的代理请求。请注意……ajax请求可以跨域进行,但只有在响应类型为jsonp的情况下。我一直都在这样做。事实上,这就是我忘记做的:-)关于有多少人禁用了会话cookie的可靠统计数据?(我找不到。仅在Javascript上:在美国/欧洲,这一比例似乎在2%左右,世界平均值约为1.2%。)URL上的会话ID是一种过时的做法。在今天的web上,任何人都不应该认为他们可以在禁用Cookie的情况下冲浪,并且仍然可以登录到他们拥有帐户的网站。如果您的某个访问者禁用了Cookie,则可以安全地假设:出于隐私原因,他们特别不想登录任何网站;或者b)他们是意外登录的,现在他们不能登录任何网站,不仅仅是你的网站。接下来:服务器可以在设置cookie时设置
HttpOnlydocument.cookie警告:session\u write\u close():无法写入会话数据(用户)