【发布时间】:2012-06-20 01:22:18
【问题描述】:
我遇到过许多警告使用链接提供注销功能的文章。他们都建议使用表单和按钮进行注销。
当我使用firebug检查gmail的注销元素的html时,我发现它是一个链接:
<a target="_top" role="button" id="gb_71" onclick="gbar.logger.il(9,{l:'o'})" href="?logout&hl=en" class="gbqfbb">Sign out</a>
href 有类似的东西
https://mail.google.com/mail/ca/?logout&hl=en
他们是否因为href 是https 而使用链接?这种用法有多安全?
【问题讨论】:
-
那些文章给出的避免使用链接的原因是什么?
-
我不熟悉该建议。我使用的许多 Web 应用程序都提供了用于注销的标准 url(例如 /logout),以及指向该 URL 的链接。您可以提供指向其中一篇文章的链接的任何更改吗?我很好奇。
-
我在我的书签中找不到文章链接,但是有一种情况是机器中安装的爬虫插件(用于浏览html页面中的所有链接)用于单击注销链接,因此注销用户。所以文章推荐使用表单和按钮
-
另外,我猜来自 site2 的 csrf 攻击可以让经过身份验证的用户(站点 1)点击 site2 上一个看起来无害的链接,这实际上是一个带有 'site1/logout' 的链接