問題タブ [cookieless]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

118 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
2 に答える
44599 参照

security - ステートレス (セッションレス) & Cookie レス認証を行うには?

ボブは、何かを達成するために Web アプリケーションを使用します。と:

  • 彼のブラウザはダイエット中のため、 Cookieをサポートしていません。
  • Web アプリケーションは人気のあるアプリケーションであり、特定の瞬間に多数のユーザーを処理するため、適切にスケーリングする必要があります。セッションを維持すると同時接続数に制限が課され、もちろん、無視できないほどのパフォーマンス ペナルティが発生する限り、セッションのないシステムが必要になる場合があります :)

いくつかの重要な注意事項:

  • トランスポート セキュリティ( HTTPSとその親友) があります。
  • カーテンの後ろで、Web アプリケーションは現在のユーザーに代わって多くの操作を外部サービスに委任します(これらのシステムは Bob をユーザーの 1 人として認識します) - これは、Bob の資格情報を外部サービスに転送する必要があることを意味します。

では、Bob を (すべての要求で) どのように認証するのでしょうか? そのようなことを実装するための合理的な方法はどれですか?

  • HTMLフォームの隠しフィールドを介して資格情報を使用してテニスをしています...ボールには資格情報(ユーザー名とパスワード)が含まれており、2つのラケットはそれぞれブラウザーとWebアプリケーションです. つまり、Cookie ではなくフォーム フィールドを介してデータを送受信する場合があります。Web 要求ごとに、ブラウザーは資格情報を送信します。ただし、単一ページのアプリケーションの場合、資格情報を含むWeb フォームがWeb ページの存続期間全体にわたって維持される可能性があるため、これはテニスをするのではなく、ゴム製の壁に対してスカッシュをするように見える場合があります。(そして、サーバーは資格情報を返さないように構成されます)。
  • ユーザー名とパスワードをページのコンテキストに保存します-JavaScript変数など。ここでは単一ページが必要です、私見。
  • 暗号化されたトークン ベースの認証。この場合、ログイン アクションにより、暗号化されたセキュリティ トークン (ユーザー名 + パスワード + 何か) が生成されます。このトークンはクライアントに返され、今後のリクエストにはトークンが付随します。これは理にかなっていますか?すでにHTTPSがあります...
  • 他...
  • 最後の手段: これを行わないでください。資格情報をセッションに保存してください。セッションは良好です。クッキーの有無にかかわらず。

前述のアイデアのいずれかに関して、Web / セキュリティに関する懸念はありますか? 例えば、

  • タイムアウト-資格情報とともにタイムスタンプを保持する場合があります (タイムスタンプ = ボブが資格情報を入力した時刻)。たとえば、NOW - タイムスタンプ > しきい値の場合、リクエストを拒否することがあります。
  • クロスサイト スクリプティング保護 - 違いはありませんよね?

これを読むために時間を割いていただきありがとうございます:)

0 投票する
0 に答える
96 参照

cookies - モバイル サイトで Cookie を使用しないサブ ドメインを作成する方法。

モバイル Web サイトを m.example.com で運営しており、静的コンテンツを提供する別のサブドメインを static.example.com に作成しました。

しかし static.example.com は Cookie データを提供しています。

提案してください。

0 投票する
2 に答える
1076 参照

asp.net - session-state cookieless=true での Web サービスの使用

次のような Web サービス メソッドでセッションを有効にします。

Cookie のないセッション状態 (web.config) を使用します。

次に、次のようにクライアントから呼び出してみます。

オブジェクトが移動されたことを示すリダイレクト WebException (302) が発生します。

ここに画像の説明を入力

0 投票する
1 に答える
467 参照

.htaccess - Yslow クッキーレス ドメイン

既にたくさんのコンテンツがある Concrete5 サイトがあり、URL を置き換えずに画像を Cookie のないドメインに向けたいと考えています。

すべての画像をメイン サイトから Cookie なしのドメインにリダイレクトする htaccess を作成しました

実際には機能していますが、YSlow はこれを尊重していないようです。それはまだ私にその部分の低いスコアを与えています.

0 投票する
1 に答える
515 参照

c# - ASP.NET cookieless セッションのサポートは今後非推奨になります

ASP.NET または ASP.NET MVC の現在および次のバージョンでの cookieless セッションのサポートについて知っている人はいますか?

彼らは、Cookie を使用しないセッションは推奨されておらず (その理由は明らかです)、非推奨であると述べています。しかし、Microsoft の Web サイト、ASP.NET のブログ、ロードマップ、または公式のものなど、公式の確認は見つかりません。


12345678910