0

セキュリティ上の理由から、クエリ文字列パラメーターを使用するサイトは嫌いです。

私の登録プロセスでは、登録したユーザーに電子メールで Web セキュリティ トークンを送信しています。ユーザーは電子メールをチェックし、電子メールで送信されたリンクをクリックして、自分が誰であるかを確認します。

私の問題はこれです。誰かが自動的にログインして、ハッカーに他の人のアカウントへのバックドアを与える可能性のあるクエリ文字列パラメーターを受け入れるページを自分のサイトに配置したくありません。

トークンに有効期限を設定しましたが、それをさらに保護したいと考えています。

何かご意見は?

4

1 に答える 1

3

トークンが使い捨ての場合、これは問題になりません。意図したユーザーが既にトークンを消費した後にトークンを使用しようとすると、エラーが表示されます。(または、ログイン ページに直接リダイレクトすることもできます。)

于 2012-10-24T15:54:58.430 に答える