Использование переменных сеанса для «авторизации» ссылок на страницы или удаленных вызовов CFC в Coldfusion?

Question

Я просто обдумываю идеи, чтобы попытаться обратиться к форме и безопасности удаленного CFC. Я задавался вопросом об установке действительно длинной / постоянной продолжительности сеанса и использовании

if DateDiff("n", now(), session.lastactive) gt 15

в onRequest для обработки времени ожидания сеанса.Затем я мог бы установить session.referrer на странице ссылки / вызова и проверить его в обработчике форм или удаленном cfc.Я не читал об этом, поэтому, вероятно, есть веские причины не делать этого?

Answer 1

То, что вы описываете, я полагаю, это функция, уже встроенная в ColdFusion 8 и более поздние вызовы verifyClient.

http://www.adobe.com/devnet/coldfusion/articles/ajax_security.html

Он создаст токен при отображении страницы, а затем проверит, что токен отправлен той странице, которая была отправлена. Если токен не отправлен или неверен, вызов вернет ошибку «Проверка клиента».