购物车/登录状态 - 没有Cookie?
问题描述:
根本没有饼干。那可能吗?究竟如何?购物车/登录状态 - 没有Cookie?
我能想到的唯一的事情是,如果您在用户第一次访问该网站时创建了一个带有ID的隐藏按钮。然后,该ID可以在页面之间传播。当有东西被添加到购物车时,您使用ajax将该选择保存到该ID。
答
Ye olde方法确实在整个过程中将令牌作为GET或POST变量传播,这很容易中断(因此仍然有可能在会话设置中使用url_rewriter.tags自动启用它)。
它可以如此轻易地打破但是,我不认为有什么不妥,要求人们启用Cookie,如果他们想向购买从您的网站的东西......
答
它并不需要是一个隐藏的字段,一个URL参数保存。您保留一个id生成器,并将该id作为参数传递?i = xxxxx在每个URL上。然后你将东西存储在与id关联的卡片中。
会议不必使用cookies这个在微风,它只是如何他们通常都做了,否则会话ID可以通过url – 2011-03-16 23:25:33
传播,也许告诉我们为什么你有一个很好的理由不使用cookies,在这种情况下,将有助于建议 – 2011-03-16 23:28:13
通过URL会话传播可能会导致超级简单[会话固定漏洞](http:// en .wikipedia.org /维基/ Session_fixation)。无cookie要求来自哪里? PHP会话最佳实践实际指示*要求*基于cookie的会话,以防止常见的注视攻击。 – Charles 2011-03-16 23:29:35