Uploadify - 上傳圖片的安全方式，僅對上傳圖片的用戶可見

Question

我使用uploadify上傳圖片，但很快我發現，SWF對象與瀏覽器沒有共享同一個會話。

我認爲我需要會話的原因是爲了確保「黑客」不能以其他用戶的名義上傳圖片，或者覆蓋其他用戶的圖片。我想每個圖像是100％的私募要上傳

下面是我看到

1. 會話ID與上載一起添加到請求

2. 使用一些加密來

   選項
   • 生成一個隨機但很難僞造的圖像ID （例如簽署一個令牌服務器端，使用用戶ID和祕密+隨機UUID，
   • 比它保存在一個表中，將用戶識別符映射到令牌（令牌是圖像ID）
   • 然後將其傳遞到用戶界面，
   • SWF對象將這一令牌傳遞到服務器，在那裏我可以驗證它是否來自服務器，並且不會被用戶篡改
   • 然後在表中查找該令牌，並使用該令牌將佔位符下的圖像字節保存。 （並且我需要希望這個令牌永遠是全球唯一的，我不確定它是否100％在統計上是真實的，或者是否？如果我有一個在萬億重複的圖像ID中，我可以無法上傳和強制用戶再次嘗試，對吧？

3. 一些其他的選項是這樣簡單，我不認爲（例如非SWF的解決方案，例如一個Ajax嗎？或者只是忘了進度條，這是不值得的，與我們目前的帶寬，大多數用戶甚至不會看到它）

4. 只是使用一個GUID，很難猜測，如果有人設法猜測另一個用戶的GUID（例如會話ID）他有覆蓋別人形象的樂趣，這並不是說他們偷了他們的信用卡權利？

問題

• 我可以使用選項1？它安全嗎？
• 如果不是，那麼選項2好嗎？它太多還是太少？它是在重新發明輪子嗎？有沒有一種更簡單的方法來獲取無會話安全的圖片上傳，以證明發件人無法從客戶端僞造？
• 或者也許有一個AJAX解決方案不需要SWF的進度條？

Answer 1

試試這個，它的工作對我來說：
Can't see any session values when using Uploadify in ASP.NET。
這個想法是你必須發送會話id回服務器並根據它加載會話。