Best practice per l'impostazione “Disattiva tutti i cookie” e gli utenti registrati / carrelli
https://stackoverflow.com/questions/3798149
-
05-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Come si fa a gestire mantenendo un utente registrato o l'aggiornamento di un carrello quando non è possibile utilizzare le sessioni? aggiungendo l'ID utente o CARTID di campi di input nascosti si sente come una falla di sicurezza
Soluzione
L'aggiunta di una sessione simile ID ad ogni forma (e ogni pianura forme link esterno troppo, se si vuole essere in grado di mantenere lo stato oltre la navigazione) è infatti il ??modo in cui è stato tradizionalmente fatto quando non è possibile utilizzare i cookie.
E 'un dolore per implementare parametri sedute (con brutti collegamenti /page.php?session=459gj0tv789yn-stile), si rompe di cache e non gli utenti possono copiare e incollare i collegamenti nel caso in cui accidentalmente sessioni di condivisione. Per queste ragioni, la maggior parte dei siti non si preoccupano con questo più e richiedono semplicemente i cookie.
Un'altra cosa che puoi fare è utilizzare l'autenticazione di base HTTP per consentire all'utente di accedere a un account, e memorizzare tutte le informazioni di sessione sul conto. Questo è un po 'meno conveniente per un carrello della spesa come si deve richiedere all'utente di accedere prima di mettere qualsiasi cosa in un carrello, ma nel caso generale è una buona alternativa per i cookie.
Altri suggerimenti
Be ', o è necessario memorizzare l'ID di sessione in un cookie o in un parametro di stringa di query.
Hai ragione che l'utilizzo di un parametro è una falla di sicurezza. Tutto qualcuno deve fare è di condividere la loro URL e hanno dato via la loro identità sito web.
Alcuni quadri normativi, come Rails, non consentono di utilizzare le sessioni se i cookie non sono disponibili, e personalmente credo che questo sia un atteggiamento accettabile per prendere se siete sul serio la sicurezza.
