0

我在我的网站中使用 meta http-equiv=refresh 将未注册的人踢出登录页面。例如,我只为已登录的成员提供了一个位置,并且我将希望通过元刷新看到那里的人重定向到登录页面。但我想知道是否有可能打破它并匿名查看那里的内容?

我正在使用我的功能

if($session == true){

// content

}

else{
echo "<meta http-equiv=\"refresh\" content=\"0;url=\"mywebsite.com/login\" />";
}

谢谢

4

1 回答 1

2

是的,这是可能的,而且非常容易。例如,esc在被重定向时只需按下即可停止重定向。

通常,您不能依靠客户端技术来防止未经授权的访问。当您的 Web 服务器向浏览器发送私人信息时,您就可以认为它的隐私受到了损害。

保护内容的唯一方法是在将任何内容输出到浏览器之前在服务器端检查用户是否已登录。

在 PHP 中,您可以在发送任何内容之前执行此操作:

if (!$session) {
    header("Location: //mywebsite.com/login", true, 302);
    die("Not authenticated, redirecting..."); // stop the script
}
// content
于 2012-09-12T08:37:39.303 回答