CI2的时候Session会因为ajax而改变信息,瞄了下CI3取消了ajax请求时刷新session的操作。我这边的后台登录信 ...
这个坑我以前也遇到过,的确是个坑。用uploadify的 flash时会被烦死。 CI2开启CSRF也会遇到这个问题。
gogogo1027 发表于 2015-8-18 20:42
CI2的时候Session会因为ajax而改变信息,瞄了下CI3取消了ajax请求时刷新session的操作。我这边的后台登录信 ...
怎么做的,求指导qq155442829,谢谢 CI的Session类的安全问题我觉得作者多虑了,首先是可以选择混淆加密cookie,其次可以换一种方式,CI是提供了可以使用数据库来存储session的值,而cookie所保存的知识session库里的session_id,就算cookie被解出了,也只是一个ID,真正的值是存储在服务端的. 本帖最后由 yuzhigang5460 于 2016-10-26 16:54 编辑
gogogo1027 发表于 2016-10-25 18:29
CI的Session类的安全问题我觉得作者多虑了,首先是可以选择混淆加密cookie,其次可以换一种方式,CI是提供了可 ...
这篇文章就是在讲怎么加密cookie的。作为一个框架,总得有多种Session的存储方案。
除此之外,
你听过CSRF吗?
我不知道偷窃来的cookie到底是什么,但是我知道能通过它得到什么。
CSRF你可以百度查处它的含义,但是具体实践上,需要个人理解,我理解的防止跨站调用,比如你登录了网银或支付宝,浏览器存储了你的登录状态,如果有木马或者程序获取到这个值,带着这个cookie冒充用户直接发送一个支付请求,如果服务端没有开启防护,则会认为是本人操作,实际上就被钻了漏洞.
页:
1
[2]