2

使用:PHP、Symfony 1.4、Doctrine、sfGuard

我有一个网站,其中大部分页面都可以缓存为完整的 HTML 页面。但是大多数网站的右上角都有传统的“用户帐户工具栏”(显示登录的用户名、注销链接等)

这显然会阻止页面被完全缓存为 HTML,因此我计划在页面加载后通过 Javascript 将页面输出为标准 HTML 并添加用户名等。

当用户登录时,我将创建一个仅存储用户名的额外 cookie。然后,Javascript 可以检查 cookie 是否存在并创建帐户工具栏。用户名仅用于显示目的。为了实际登录,用户必须通过正常的登录页面,使用他们的密码等。

我已经搜索了有关此的博客文章等,但没有找到太多。任何人都可以确定任何安全或其他问题吗?

4

2 回答 2

1

只要用户名仅用于显示目的,您就应该是黄金用户。或者,您可以使用 XHR 从 PHP 的 $_SESSION 中获取用户名。

我担心您会使用用户名来验证该用户。或者使用用户名作为访问缓存的密钥,通过更改用户名,攻击者可以访问其他人的缓存。

于 2011-01-18T18:59:58.100 回答
0

您永远不应该在 cookie 中存储任何敏感信息。对我来说,这包括用户名。

于 2011-01-20T19:00:31.023 回答