私は現在、独自のログインスクリプトを作成していますが、ほとんどの場合、セッションIDまたはそれに類似したものをget変数として追加することに気付きました。
なぜ彼らはこれをするのですか?
logout.phpのセッションを破棄し、IDを渡さない方が安全で簡単なだけではありませんか?
質問する
82 次
1 に答える
1
getログアウトするときだけパラメータを追加する必要がある理由は考えられません。
URLにトークンを追加すると、不正使用を防止したり、セッションIDをURLに追加したりして、クライアント側でCookieが無効になったときにセッションを機能させることができます。
アップデート
リンク先の記事から:
ただし、ファイルをざっと見ると、かなり興味深い問題がわかります。ログインページに送信するには、ログインによって計算された署名をユーザーに提示する必要があります。おそらく、これはCSRF保護の一形態として行われたものです。ただし、セッションを引き継ぐために必要なデータもユーザーにリークします。したがって、これまでのところ11番目の脆弱性に到達します。
UPDATE2
チャットでircmaxellに質問しました。そして、うん、それはCSRF保護のためです。
于 2012-04-05T16:13:14.770 に答える