我原来的方法是一个基于cookie的系统.本质上我设置了一个带有验证码的cookie,每个数据访问都改变了cookie.同样,每当出现验证失败时,该用户的所有会话均被取消身份验证,以防止劫持者出现.为了劫持一个会话,有人将不得不自己登录,黑客将需要发送最后一次cookie更新来欺骗会话.

不幸的是,由于AJAX的性质,当快速发出多个请求时,他们可能会重新出现故障,将cookie设置错误,并打破会话,因此我需要重新实现.

我的想法是：

>一个非常不太安全的基于会话的方法
>在整个网站上使用SSL(好像过度杀毒)
>使用ssl认证的iFrame进行安全交易(我只是认为这是可能的,有一点点jquery黑客)

问题不在于数据传输,唯一的担忧是有人可能会控制不是他们的帐户.

一个非常不太安全的基于会话的方法