質問 > フロント機能 > トップページでのログイン判定について |
フロント機能
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
kjt |
投稿日時: 2010/5/17 2:23
対応状況: −−−
|
新米 登録日: 2010/3/21 居住地: 投稿: 7 |
Re: トップページでのログイン判定について seasoft様
アドバイスいただき有り難うございます。 XSRFですか。。やはりECサイトである以上脆弱性はできるだけ取り除いたサイトにしたいので、勉強しつつ、コメントアウトしないで済むような方法も考えていきたいと思います。 ちなみに、いまいち理解が曖昧なのですが、トランザクショントークンによる不正画面遷移の防止と、セッションIDによるセッション管理というのはまったく別次元の話なのでしょうか。 トランザクショントークンの生成は、getToken()の使用場所を調べてみたところ以下のようになっています。
対して、セッションの開始を担当しているsfDomainSessionStart(これであっているでしょうか)の使用場所は以下のようになっています。
これらを見てみると、結局SC_ViewのSC_SiteViewでセッションが開始されているので、顧客側のWebサイト表示では常にセッションが再生成されているということになり、そのIDによる管理があればトランザクショントークンはなぜ必要なのかわかりません。 検討違いなことを申し上げているかもしれませんが、以上の点について疑問でしたので、なんらかお答えいただければ幸いです。 よろしくお願い致します。 |
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
トップページでのログイン判定について | kjt | 2010/5/15 1:06 |
Re: トップページでのログイン判定について | kjt | 2010/5/16 6:32 |
Re: トップページでのログイン判定について | seasoft | 2010/5/16 11:08 |
Re: トップページでのログイン判定について | ゲスト | 2010/5/16 17:06 |
» Re: トップページでのログイン判定について | kjt | 2010/5/17 2:23 |
Re: トップページでのログイン判定について | kjt | 2010/5/17 2:32 |
マスタログイン 会員制 Re: トップページでのログイン判定について | ゲスト | 2010/5/17 9:51 |
Re: トップページでのログイン判定について | kjt | 2010/5/17 18:36 |
Re: トップページでのログイン判定について | kjt | 2010/5/17 18:38 |
Re: トップページでのログイン判定について | ゲスト | 2010/5/17 18:55 |
Re: トップページでのログイン判定について | ゲスト | 2010/5/17 20:20 |
Re: トップページでのログイン判定について | seasoft | 2010/5/17 2:55 |