我在我的网站的php/html页面的顶部有一个Auth脚本,当他们尝试访问受保护内容而未登录时重定向人员。因为保护区链接中的内容被无意加载,并且在window.location.href将用户重定向到默认登录页面之前可以看到Flash信息。这就造成了一个安全漏洞,在他们试图从外部访问的任何页面上,被保护的信息可以被看到几分之一秒。延迟或阻止加载,直到php脚本/ javascript已完全执行
有没有一种方法可以使受保护内容在auth脚本彻底执行之后才能加载?
- 下面的脚本是在我的所有受保护的页面的顶部:
require_once('userSessionAuth.php')
- 在^上面的脚本^我有一个:
alert("You are not logged in!");
window.location.href="http://example.com/customerlogin.php";
^^所有受保护内容都列在所有受保护页面的这两行后面。
那么真的,人们可以禁用JavaScript,然后查看所有受保护的内容呢?正确的做法是仅从服务器输出内容,如果用户被授权 – adeneo