我们有一个面向公众的网站,用户可以使用电子邮件地址登录。cookies用户登录后,我们使用唯一生成的域填充该域session id,以及用户详细信息,如 emailAddress、Name 等,基于这些信息对服务器进行其他调用,如 getUserProfile 等。
但是问题是,任何用户都可以更改他的 hosts 文件,并编写一个简单Servlet的来创建cookies我的域,并可以在其中设置任何随机session id和用户详细信息cookies,然后可以自动登录。
在客户端,我如何保持适当session id的正确性。如果我session id在一些缓存框架中维护后端的 s memcache,那么网站上的每次点击都会点击服务器,这不是我想要的。
cookies解决此问题并确保欺诈用户在对其主机文件进行更改后无法设置我的方法是什么。