靠session吗
我自己做个站可以看到session
别人站的session我能看到吗
做Cookies
可以这样考虑:
1.把用户的登陆态token下发,写入浏览器cookie
2.以后每次请求的时候都带上用户id和登陆态token让后台校验
3.token有有效期,每次访问网站可以延长token有效期。
请参考XSS。。
Cookies写在客户端
第一次打开的时候判断cookies是否伪造,然后就写入session
第二次以后打开页面,就判断session,避免每次都判断cookies,提高效率