我对网站开发还很陌生。我正在开发一个网站,用户使用用户名/密码登录,并从服务器获取 sessionID 作为响应。这个 sessionID 会随着每个请求发送回服务器(并返回一个新的)。
如果用户在多个选项卡或窗口中打开网站,我希望该网站能够正常工作。即,一旦在一个选项卡上登录,在另一个选项卡中打开仅限成员(member)的 URL 无需登录即可工作。(并且,在一个选项卡中注销会从所有选项卡中注销。)如果不将最新的 sessionID 存储在一个选项卡中,我看不出有什么办法可以做到这一点。曲奇饼。这样最新的 sessionID 就可以在所有选项卡之间“共享”。
但是我开始阅读有关 cookie 的内容,以及一些 security threats 。我不知道每次请求都会发送cookie。我永远不需要将 cookie 发送到服务器。 sessionID 被添加到 xhr 请求的 header 中——而不是作为 cookie 读取。所以我想知道是否有办法禁用此 cookie 的发送。我这样做的唯一目的是允许同一浏览器中的多个选项卡/窗口共享同一 session 。
我正在阅读 path parameter for cookies 。显然这可以用来限制cookie何时发送到服务器?如果我将路径设置为永远不会使用的东西怎么办?这会阻止 cookie 自动发送吗?我只想从 JavaScript 访问它。
一位同事已在该应用程序的服务器端设置了很多保护措施,我在此不再赘述。所以这个问题只是关于我可以并且应该采取哪些客户端预防措施,特别是使用 cookie,以获得最佳安全性。如果有更好的方法可以让成员(member)专用网站在同时打开多个选项卡的情况下正常工作,我会洗耳恭听。
最佳答案
我刚才发现HTML 5中有local storage ,它像 cookie 一样存储键/值对,但不会随每个服务器请求一起发送。由于除 IE 7 及更早版本之外的所有浏览器都支持它,因此我将切换到此模式,以便在可用时在选项卡之间共享数据,并在 IE 7 及更早版本上使用 cookie。
关于security - 我可以禁止随服务器请求自动发送 cookie 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18137330/