Session 有禁用cookie、javascript、HTTP Referer且没有GET/POST的网站会话?
我的问题可能很常见;) 我想实现一个网站的用户会话。这项工作的限制如下:Session 有禁用cookie、javascript、HTTP Referer且没有GET/POST的网站会话?,session,cookies,https,digest,Session,Cookies,Https,Digest,我的问题可能很常见;) 我想实现一个网站的用户会话。这项工作的限制如下: 它必须在没有cookies的情况下工作,因为cookies可以被禁用 它必须在GET和/或POST表单变量中不传递会话id(或会话相关id)的情况下工作 它必须在不检查HTTP Referer标头字段的情况下工作,因为该字段可能为空 它必须在没有JavaScript的情况下工作,因为这是可以禁用的 我唯一发现的是使用HTTPS(无论如何,这是一个不错的选择…)和“摘要访问身份验证”。唯一的缺点是MD5被用作散列机制,这
- 它必须在没有cookies的情况下工作,因为cookies可以被禁用
- 它必须在GET和/或POST表单变量中不传递会话id(或会话相关id)的情况下工作
- 它必须在不检查HTTP Referer标头字段的情况下工作,因为该字段可能为空
- 它必须在没有JavaScript的情况下工作,因为这是可以禁用的
- 该网站仅限HTTPS
- 会话id是SSL/TLS会话标识符,该id存储在数据库中,可能与用户帐户记录关联,也可能与用户帐户记录无关(用户身份验证使用HTTPS上的正常形式完成)
- 该网站仅限HTTPS
- 会话id是SSL/TLS会话标识符,该id存储在数据库中,可能与用户帐户记录关联,也可能与用户帐户记录无关(用户身份验证使用HTTPS上的正常形式完成)
如果有人有更好的方法,我很乐意阅读。将删除Javascript标记。您可以在路径中传递会话ID。虽然很容易被劫持,但我并没有明确地排除这一点,而是在我的头脑中排除了。会话id将是URL的一部分,就像它是GET变量的一部分一样。将删除Javascript标记。您可以在路径中传递会话id。虽然很容易被劫持,但我并没有明确地排除这一点,而是在我的头脑中排除了。会话id将是URL的一部分,就像它是GET变量的一部分一样。