私はログインとセッション管理のウェブサイトを持っており、ページはajaxを使ってフォームデータをサーバー側に送信します。ログインせずにajaxを使用するのを防ぐには?
は、どのように私はHTMLとJavaScriptを節約し、それによって完全にログインし、セッション管理をバイパスから人を守るのですか?
あなたは成功したログイン時にトークンを生成し、JSON文字列と一緒にこれを送信するので、サーバー側のスクリプトは、このに対してチェックすることができますか?
その場合は、私は使用することができ、このためのソリューションが存在しないので、私は彼らに自分自身を記述する必要はありませんか?
私は両方の今のうちしようとしているように私は、DjandoとRORの両方のソリューションに興味があります。
私は追加します。ログイン/セッションがHTTPSを超えていない場合は、安全であるとみなされるべきではなく、IPでハッシュされるかどうか。 –
はい、それは本当ですが、IPなしでは、セッションを引き継ぐためにセッションクッキーをどのマシンにもコピーできます。しかし、実際には、安全にしたい場合はSSLが必要です。 – GolezTrol
@Chris Farmiloe:この場合SSLが重要な理由は何ですか? –