我已经在stackoverflow上阅读了很多答案,但没有一个能回答我的问题。 让我们考虑一个案例,老师和学生使用同一台计算机。教师使用它上传标记,学生使用计算机浏览标记。现在,教师的cookie被存储和访问。学生可以轻松伪造cookie并将自己作为教师展示给系统并造成破坏。 我应该采取什么方法来禁用它?这只能通过会话吗?或者也有可能使用cookies。
答案 0 :(得分:1)
我要提出的两个主要建议是:
答案 1 :(得分:0)
如果没有必要让浏览器记住浏览器会话之间的cookie(例如,如果浏览器窗口关闭,则可以“忘记”登录),那么您无法在cookie上设置到期日期,这使得它成为记忆 - 仅限居民。
当用户关闭网络浏览器时,忘记了cookie(标准浏览器行为),因此没有指向旧会话的链接,并且必须提供新的登录。旧会话变为“孤儿”并且(假设您的“不活动过期”过程)最终将过期。
如果您需要浏览器记住最后一个用户,即使窗口已关闭,也需要一个短暂但适当的超时 - 在x分钟/小时不活动后(无论什么是合适的),销毁会话使得cookie无用。