Re: オートログインハック等の利用について
List posts in the topic
Re: オートログインハック等の利用について
msg# 1.3.1
monsukeさん、こんにちは。
おそらくは勘違いだと思います。
もともと、私のオートログインは、フォーム処理のセッション切れなどに対応したものではありません。
ログインセッションのタイムアウトについては、別の方法で対応してください。
オートログイン==常時ログイン状態
となると、CSRFに対して極めて弱くなってしまうので、なんらかのクエリが含まれている時点で、フォームを経由させる、という仕掛けが、session_confirmです。
だから、POSTデータが含まれている可能性も、当然想定していません。
チケット処理などは、まったく別の概念です。
Votes:9
Average:10.00
Posts tree