Les meilleures pratiques pour le réglage « désactiver tous les cookies » et les utilisateurs connectés / chariots

Question

Comment gérez-vous la tenue d'un utilisateur connecté ou mettre à jour un panier lorsque vous ne pouvez pas utiliser les sessions? ajouter la UsagId CartId aux champs d'entrée cachés se sent comme une faille de sécurité

Answer 1

Ajout est en effet la façon dont il a été fait traditionnellement une session comme ID à toutes les formes (et toutes les formes de l'extérieur de lien clair aussi, si vous voulez être en mesure de maintenir l'état sur la navigation) lorsque vous ne pouvez pas utiliser les cookies.

Il est une telle douleur à mettre en œuvre des sessions de paramètres (avec des liens laids style /page.php?session=459gj0tv789yn), il se casse et les utilisateurs ne en tant que cache peut copier-coller des liens dans le cas où ils accidentellement des séances d'actions. Pour ces raisons, la plupart des sites ne se soucient pas de ce plus, et exigent simplement les cookies.

Une autre chose que vous pouvez faire est d'utiliser l'authentification HTTP de base pour permettre à l'utilisateur de se connecter à un compte, et de stocker toutes les informations de session sur le compte. Ceci est un peu moins pratique pour un panier que vous devez demander à l'utilisateur de se connecter avant de mettre quoi que ce soit dans un panier, mais dans le cas général, il est une bonne alternative aux cookies.

Answer 2

Eh bien, soit vous devez stocker l'ID de session dans un cookie ou un paramètre de chaîne de requête.

Vous avez raison que l'utilisation d'un paramètre est une faille de sécurité. Tout quelqu'un doit faire est de partager leur URL et ils ont donnés leur identité d'un site Web.

Certains cadres, comme Rails, utilisez-vous des séances si les cookies ne sont pas disponibles, et je pense personnellement pas laisser cela est une position acceptable pour prendre si vous êtes sérieux au sujet de la sécurité.