Сессия конечного пользователя на новой вкладке браузера

Question

У нас есть финансовое приложение, в котором, когда пользователь открывает ссылку в новой вкладке и закрывает предыдущую, его сеанс все еще активен в новой вкладке. Это может создать проблемы подделки межсайтовых запросов, что для нас является большой проблемой. В беседе с нашими разработчиками об этом при реализации чего-либо, использующего onload или unload (как описано здесь http://www.liferay.com/community/forums/-/message_boards/message/2948770)), сказано, что способ сборки приложения (Java + Face + Jboss + Tomact) создаст проблемы, так как использование будет регистрироваться каждый раз, когда он нажимает на меню, потому что функция вызывается всякий раз, когда пользователь переходит с одной страницы на другую.

Есть ли способ обойти эту проблему без использования функции javascript unload / onload?

спасибо

Answer 1

Невозможно обнаружить пользователя, закрывающего страницу, без использования javascript.

Однако было бы удобнее, если бы вы хранили несколько токенов CSRF вместо одного (например, до 10),Когда один используется, только этот становится недействительным, а когда нужен новый, самый старый удаляется.Это гарантирует, что люди могут работать на нескольких вкладках, сохраняя при этом защиту от CSRF.