我目前正在构建自己的登录脚本,并注意到大多数都将会话 ID 或类似于注销页面附加为获取变量。
他们为什么这样做呢?
仅在 logout.php 上销毁会话而不传递任何 ID 不仅安全/更容易吗?
问问题
82 次
1 回答
1
我想不出他们get只有在注销时才需要添加参数的任何原因。
向 URL 添加一些令牌可用于防止滥用,或者将会话 ID 添加到 url 以在客户端禁用 cookie 时也使会话工作。
更新
从链接的文章:
但是,快速浏览该文件会发现一个相当有趣的问题。它要求将通过登录计算的签名呈现给用户以提交到登录页面。据推测,这是作为 CSRF 保护的一种形式。但是,它也会向用户泄露接管会话所需的数据。因此,我们来到了迄今为止的第 11 个漏洞:
更新2
我在聊天中问过 ircmaxell。是的,这是因为 CSRF 保护。
于 2012-04-05T16:13:14.770 回答