Foxtable(狐表)用户栏目专家坐堂 → 手机登录的安全问题


  共有3593人关注过本帖树形打印复制链接

主题:手机登录的安全问题

帅哥哟,离线,有人找我吗?
lihe60
  1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
手机登录的安全问题  发帖心情 Post By:2019/1/2 7:34:00 [只看该作者]

手机通过用户名登录网页,wb.AppendCookie("userid1",yh_dr("用户编号")),这样可以获取用户编号,通过这个用户编号筛选数据。这是需要达到的目的。

在一部手机上进行上述操作后,退出网页,直接输入一个网址,发现e.cookies("userid1")的值不为空,为上述操作的用户编号。这样一部手机通过用户名登录网页后,以后不需要从登录界面登录,直接输入网址也可以查询数据,这样数据不安全。

目的是如果直接登录网址,不能查询数据,如何实现?

 回到顶部
帅哥哟,离线,有人找我吗?
有点甜
  2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:版主 帖子:85326 积分:427815 威望:0 精华:5 注册:2012/10/18 22:13:00
  发帖心情 Post By:2019/1/2 8:54:00 [只看该作者]

退出的时候清空cookie

 

wb.DeleteCookie("username") '清除cookie中原来的用户名和密码
wb.DeleteCookie("password")


 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  3楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/4 9:42:00 [只看该作者]

用户退出时,不是按狐表设置的按钮,按的是手机自带的退出功能。这个代码写在什么地方?

 回到顶部
帅哥哟,离线,有人找我吗?
有点甜
  4楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:版主 帖子:85326 积分:427815 威望:0 精华:5 注册:2012/10/18 22:13:00
  发帖心情 Post By:2019/1/4 9:52:00 [只看该作者]

以下是引用lihe60在2019/1/4 9:42:00的发言:
用户退出时,不是按狐表设置的按钮,按的是手机自带的退出功能。这个代码写在什么地方?

 

退出后cookie也会自动删除的。

 

你重新访问网页的时候,执行msgbox(e.cookies("userid1"))弹出值看一下。


 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  5楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/12 12:12:00 [只看该作者]

手机退出浏览器后,msgbox(e.cookies("userid1"))弹出的正确的用户编号,好危险。这样的话,手机正常登录一次,以后直接输入网址,不用再通过安全模式登录了。

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  6楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/12 12:16:00 [只看该作者]

2楼的办法也不太安全:如果用户不按套路出牌,2楼的代码是无效的。

 回到顶部
帅哥,在线噢!
有点蓝
  7楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:超级版主 帖子:105473 积分:536350 威望:0 精华:9 注册:2015/6/24 9:21:00
  发帖心情 Post By:2019/1/12 12:17:00 [只看该作者]

是重新访问网页而且没有给cookie赋值前测试,而不是退出的时候测试这个值。如果是微信,可以增加授权验证。如果是浏览器,要退出浏览器才会清除

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  8楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/12 12:25:00 [只看该作者]

手机退出QQ浏览器,再直接输入网址,会弹出e.cookies("userid1")值的。理想的情况是清空,就是说退出是没有清空e.cookies("userid1")的
[此贴子已经被作者于2019/1/12 12:26:15编辑过]

 回到顶部
帅哥,在线噢!
有点蓝
  9楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:超级版主 帖子:105473 积分:536350 威望:0 精华:9 注册:2015/6/24 9:21:00
  发帖心情 Post By:2019/1/12 14:41:00 [只看该作者]

测试了一下,大部分的浏览器都没有问题,有些浏览器不会清空cookie,这个没有办法。或者设置时指定失效时间:http://www.foxtable.com/mobilehelp/scr/0042.htm

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  10楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/12 22:11:00 [只看该作者]

不知道用户会用什么浏览器打开网页,所以要有个所有浏览器关闭,这个cookie都要失效的代码或方法。
[此贴子已经被作者于2019/1/12 22:14:33编辑过]

 回到顶部
总数 16 1 2 下一页