將會話安全地傳遞到另一個瀏覽器的最佳方式

Question

我知道這不會安全。但是，我想至少做一些嘗試，儘量少做我需要做的事情。

我們有一個使用IE瀏覽器控件構建的自定義客戶端。我無法改變這一點，這個問題的範圍並不在於改變它。問題是，如果用戶在此應用程序中執行的操作彈出打開窗口，它將在IE中打開窗口，而不是客戶端應用程序。

我們有一些導出到CSV和打印功能，打開一個新的窗口。他們打印或導出的信息取決於訪問控制。所以，當窗口在IE中彈出時，它們不會被登錄到IE中;所以沒有訪問控制。我需要能夠將會話傳遞給IE，以便用戶登錄並將適當的信息打印或導出到csv。

不一定需要Fort Knox安全。它不適用於公共網站，也不適用於安全數據。但是，有沒有辦法在不完全忽略所有安全性的情況下完成此任務？

Answer 1

在彈出窗口之前，創建一個令牌並將其存儲在與當前用戶相關的數據庫中。給令牌60秒的過期時間（根據需要調整）並將其添加到彈出窗口url的末尾。當該URL被擊中時，讀取令牌及其與用戶的關聯。從那裏，你應該能夠訪問你的ACL控件。

您不會傳輸會話，但您會知道哪個用戶正在請求彈出窗口。希望它有幫助...

警告：這不是非常安全的，因爲令牌在中間攻擊時容易受到攻擊。添加到期功能是爲了限制這種可能性。這種方法可以被默認爲安全。