所以,大约 6 年前我写了一些软件,即将发布 2.0 版。最近,人们一直在抱怨一个客户的数据已转移到另一个客户。罪魁祸首 - 使用打开多个选项卡,但浏览器共享一个会话。(我得到一个“哦,顺便说一句,这已经发生了一段时间了......”)
幸运的是,我在发布 2.0 之前就已经知道了。我的解决方案是在登录时创建一个随机 session_name。然后此名称会不断发布或访问应用程序中的其他页面。它工作得很好。缺点是有人可以查看源代码并看到类似<input type="hidden" name="session" value="LSDT2341335054" />
的内容,更不用说生成的报告(使用 GET)将在 url 中显示“&session=LSDT2341335054”。
这是一个非常快速的解决方法,效果很好,但我找不到更好的方法。我一个人工作,所以没有任何类型的魔鬼拥护者。除了有点草率之外,他们对这种方法有什么真正的风险吗?仅仅因为我看不到这个问题,并不意味着它们不存在。
谢谢,戴夫