出于安全原因,我讨厌使用查询字符串参数的网站。
在我的注册过程中,我通过电子邮件向注册用户发送了一个网络安全令牌。用户检查他们的电子邮件并单击通过电子邮件发送给他们的链接以确认他们是谁。
我的问题是,我不希望我的网站上有一个页面接受可以自动登录的查询字符串参数,从而为黑客提供进入其他人帐户的后门。
我已经在令牌上设置了到期日期,但我想进一步保护它。
有什么想法吗?
问问题
923 次
出于安全原因,我讨厌使用查询字符串参数的网站。
在我的注册过程中,我通过电子邮件向注册用户发送了一个网络安全令牌。用户检查他们的电子邮件并单击通过电子邮件发送给他们的链接以确认他们是谁。
我的问题是,我不希望我的网站上有一个页面接受可以自动登录的查询字符串参数,从而为黑客提供进入其他人帐户的后门。
我已经在令牌上设置了到期日期,但我想进一步保护它。
有什么想法吗?