它仅仅是对饼干的古老恐惧(在某些地方仍然存在)的产物吗?我还想知道从出站电子邮件中简单地传递用户名是否是不好的做法。
1 回答
2
没有什么可以阻止 Web 应用程序在不征得用户明确许可的情况下始终在特定计算机上记住用户的时间。但是,这样做会对共享计算机产生安全和隐私影响。
想象一下,您去网吧或图书馆,坐在共享计算机上并登录您的银行网站(无论如何您都不应该在这些地方这样做:-))。银行网站试图变得“聪明”,并根据您的凭据保存带有票证的 cookie。完成后,您关闭浏览器而不注销。下一个人坐下,打开浏览器,查看历史记录并前往银行网站。现在他们可以神奇地获得你所有的钱。
那可能是你最后一次使用那家银行做任何事情。
更新:回答问题的第二部分(以及下面的评论)
如果您害怕 URL 注入,您可能不应该在电子邮件 URL 本身中指定用户名。相反,生成一次性令牌(例如,您可以使用用户名和网站密码的单向哈希),这对外部站点没有任何意义,但允许您提取用户身份和预填充页面上的字段。
请记住,您不应在电子邮件的 URL 中包含足够的信息,以便单击该链接将验证用户对您的站点的身份。您仍然希望用户证明他们的身份。
于 2010-03-03T18:46:57.490 回答