出于安全考虑,我讨厌使用查询字符串参数的网站。
对于我的注册过程,我通过电子邮件向注册的用户发送websecurity令牌。用户检查他们的电子邮件并点击通过电子邮件发送给他们的链接,以确认他们是谁。
我的问题是,我不希望我的网站上有一个页面接受一个查询字符串参数,该参数可以自动记录某人,让黑客入侵其他人的帐户。
我已经在令牌上设置了有效期限,但我想进一步确保它。
有什么想法吗?
答案 0 :(得分:3)
如果令牌是一次性使用,则这不是问题。任何试图在目标用户已经使用它之后使用该令牌的人都会看到错误。 (或者您可以直接重定向到登录页面。)