我最近在我的主页面中实现了一小段 javascript,它每 30 秒执行一次 ajax 请求以保持 session 处于事件状态。我知道有几个关于保持活力的问题,但我还没有真正找到这些具体问题的答案。
我的问题是:
这样做安全吗?如,如果有许多并发用户/连接,这会产生任何不利影响吗? 我可以使用这种方法实现延长的超时时间还是必须使用 cookie? 我对cookies了解不多,但现在这些相对可以接受吗?或者会有不允许他们使用的用户 - 他们能够使用我的网站吗? 谢谢大家!
是的,它是安全的。就负载而言,这取决于您的硬件以及您如何编写它,但它的效果并不比用户刷新页面更糟糕(考虑到 AJAX 调用相对于标准页面加载的开销可能会更少)。 您可以在 web.config
中调整超时时间。如果这就是你要问的... 这是对你的个人要求。 Cookie 有其用途,我认为只要它是您的域,它们就可以接受,但确实意识到有些人禁用了它们,因此归结为有一个后备方案。 不过要记住一些事情:
银行在您检查财务时使用相同的方法来保持您的 session 继续进行,但通常会在您之前提供一个弹出窗口询问您是否要继续。 让用户强制登录的时间超过正常持续时间可能会带来安全风险(想象有人在图书馆或学校计算机上登录并离开办公 table ——该 session 是否应该持续到第二天 [或更长时间]?)