我在我的網站的php/html頁面的頂部有一個Auth腳本,當他們嘗試訪問受保護內容而未登錄時重定向人員。因爲保護區鏈接中的內容被無意加載,並且在window.location.href將用戶重定向到默認登錄頁面之前可以看到Flash信息。這就造成了一個安全漏洞,在他們試圖從外部訪問的任何頁面上,被保護的信息可以被看到幾分之一秒。延遲或阻止加載,直到php腳本/ javascript已完全執行
有沒有一種方法可以使受保護內容在auth腳本徹底執行之後才能加載?
- 下面的腳本是在我的所有受保護的頁面的頂部:
require_once('userSessionAuth.php')
- 在^上面的腳本^我有一個:
alert("You are not logged in!");
window.location.href="http://example.com/customerlogin.php";
^^所有受保護內容都列在所有受保護頁面的這兩行後面。
那麼真的,人們可以禁用JavaScript,然後查看所有受保護的內容呢?正確的做法是僅從服務器輸出內容,如果用戶被授權 – adeneo