0

出于安全原因,我讨厌使用查询字符串参数的网站。

在我的注册过程中,我通过电子邮件向注册用户发送了一个网络安全令牌。用户检查他们的电子邮件并单击通过电子邮件发送给他们的链接以确认他们是谁。

我的问题是,我不希望我的网站上有一个页面接受可以自动登录的查询字符串参数,从而为黑客提供进入其他人帐户的后门。

我已经在令牌上设置了到期日期,但我想进一步保护它。

有什么想法吗?

4

1 回答 1

3

如果令牌是一次性的,这不是问题。在目标用户已经使用令牌之后尝试使用令牌的任何人都会看到错误。(或者您可以直接重定向到登录页面。)

于 2012-10-24T15:54:58.430 回答