我正在开发一个金融应用程序,例如网上银行。我想知道当用户浏览应用程序不包含的页面(例如 google.com)时可能会出现什么问题。
我的客户希望我不要终止会话,以便用户可以像 facebook 一样返回应用程序
问问题
112 次
1 回答
1
如果您使用浏览器导航功能,我知道的网上银行系统甚至会终止会话。我认为这不是必需的,实际上我认为这是矫枉过正。当用户离开您的页面时终止会话(不要忘记它并不安全,因为您需要 JavaScript)可能没问题。但关键是:只有在用户不注销并离开 PC 时,才会有风险,因此其他人可以继续他的会话。如果离开页面后放弃会话会让事情变得更安全......很难说。我认为很多人离开网上银行系统时都不会想到很快就会回来。所以,我建议:注销用户(再一次:由于 JavaScript,你不能保证)。
更新:有个主意。您可以使用一些服务器端令牌,让您知道用户是否浏览了页面导航或使用了浏览器导航或地址栏。有了这个,你就不需要 JS 并且我认为它是安全的,但我不确定。在这种情况下,我会向谷歌询问最佳做法。
于 2013-04-01T08:07:25.260 回答