que tiene una acción en mi sitio:Prevenir Salir Acción suceda a partir de fuentes no confiables en PHP
http://mysite.com/User/Logout
Esto registrará el usuario actual de su/su sesión. Como se trata de una solicitud GET simple, un usuario malintencionado podría crear enlaces a esta página o incluso poner este enlace en el atributo src
de una imagen que obligaría a los usuarios a cerrar la sesión. Todavía me gustaría mantener la simplicidad del enlace de cierre de sesión sin tener que ir demasiado lejos, pero al mismo tiempo me gustaría poder evitar que ocurra el escenario anterior.
¿Alguna idea?
Gran explicación. Es bueno saber que las personas realmente escriben código de seguridad en PHP. Atentamente. – Zed
Hmm, no creo que tu getSessionToken realmente reinicie la variable de sesión 'random_token'. Parece que solo asigna un nuevo token si aún no existe. Si uno existe, sin embargo, nunca asigna uno nuevo. – Scott
@Scott: buen descubrimiento. Fijo... – ircmaxell