[英]getJSON and session_regenerate_id()
我正在从受会话保护的页面执行标准的getJSON查询:
$.getJSON('queries.php',{q: 'updateEvent', param1: p1},
function(data){
...
}
);
在我的会话构造函数上,我设置了以下内容:
function startSession()
{
ini_set('session.use_only_cookies', SESSION_USE_ONLY_COOKIES);
$cookieParams = session_get_cookie_params();
session_set_cookie_params(
$cookieParams["lifetime"],
$cookieParams["path"],
$cookieParams["domain"],
SESSION_SECURE,
SESSION_HTTP_ONLY
);
session_start();
if ( SESSION_REGENERATE_ID )
session_regenerate_id(SESSION_REGENERATE_ID);
}
如果我将SESSION_REGENERATE_ID
设置为true,那么我的getJSON将发送一个令牌,但接收到另一个令牌,从而使请求失败。 因此,目前我正在将SESSION_REGENERATE_ID
设置为false。
有没有办法让getJSON在这样的条件下工作?
编辑:所有文件都在同一个域下。
我们在其中包含js的index.php中,有在ajax请求调用的php文件中的querys.php,在其中包含上述构造函数的s_session.php中。
首先,文件index.html和query.php都受到保护:
include "s_session.php";
if(!$login->isLoggedIn()) {
header('Content-Type: application/json');
echo json_encode(array('content' => 'Login failed'));
exit;
}
PHPSESSID在set-cookie下的ajax请求的标头中。 答案中返回的PHPSESSID与session_regenerate_id所期望的不同。
如果将SESSION_REGENERATE_ID设置为FALSE,则请求将顺利进行。 如果将其设置为TRUE,则会收到错误消息“登录失败”。
这是isLoggedIn():
public function isLoggedIn() {
//if $_SESSION['user_id'] is not set return false
if(ASSession::get("user_id") == null)
return false;
//if enabled, check fingerprint
if(LOGIN_FINGERPRINT == true) {
$loginString = $this->_generateLoginString();
$currentString = ASSession::get("login_fingerprint");
if($currentString != null && $currentString == $loginString)
return true;
else {
//destroy session, it is probably stolen by someone
$this->logout();
return false;
}
}
$user = new ASUser(ASSession::get("user_id"));
return $user->getInfo() !== null;
}
编辑2:这是完整的ASSession代码:
class ASSession {
/**
* Start session.
*/
public static function startSession()
{
ini_set('session.use_only_cookies', SESSION_USE_ONLY_COOKIES);
session_start();
$s = $_SESSION;
$cookieParams = session_get_cookie_params();
session_set_cookie_params(
$cookieParams["lifetime"],
$cookieParams["path"],
$cookieParams["domain"],
SESSION_SECURE,
SESSION_HTTP_ONLY
);
if ( SESSION_REGENERATE_ID )
session_regenerate_id(SESSION_REGENERATE_ID);
//$_SESSION = $s;
}
/**
* Destroy session.
*/
public static function destroySession() {
$_SESSION = array();
$params = session_get_cookie_params();
setcookie( session_name(),
'',
time() - 42000,
$params["path"],
$params["domain"],
$params["secure"],
$params["httponly"]
);
session_destroy();
}
/**
* Set session data.
* @param mixed $key Key that will be used to store value.
* @param mixed $value Value that will be stored.
*/
public static function set($key, $value) {
$_SESSION[$key] = $value;
}
/**
* Unset session data with provided key.
* @param $key
*/
public static function destroy($key) {
if ( isset($_SESSION[$key]) )
unset($_SESSION[$key]);
}
/**
* Get data from $_SESSION variable.
* @param mixed $key Key used to get data from session.
* @param mixed $default This will be returned if there is no record inside
* session for given key.
* @return mixed Session value for given key.
*/
public static function get($key, $default = null) {
if(isset($_SESSION[$key]))
return $_SESSION[$key];
else
return $default;
}
}
编辑3:这是请求标头和响应cookie:
我注意到在onload
期间执行的第一个getJSON成功。 在用户触发之后执行的所有其他操作均未成功
这主要是由竞争条件引起的,但浏览器错误也可能会导致。
我会排除浏览器错误的情况,但是所提供的信息有冲突,更具体地讲,在此注释中 :
它是几次呼叫,是根据用户操作一个接一个地进行的,永远不会同时进行。
如果 从未同时执行这些请求,则仅意味着您的浏览器无法正常运行,并且发生以下情况之一:
Set-Cookie
标头(如果该逻辑取决于HttpOnly
标志,这将说明为什么Web仍然可以工作:D) onLoad
事件是在页面加载期间执行的(我知道这没有意义,但如果是浏览器错误,一切皆有可能) 当然,这些可能性极不可能发生,因此我倾向于说您实际上一次要处理多个AJAX请求,在这种情况下,竞争条件是一个合理的情况:
我个人来看一下该onLoad
事件触发了什么-将所有初始化逻辑放在其中很容易,而忘记了其中可能包含多个异步请求。
无论哪种方式,您真正的逻辑错误就是这段代码:
if ( SESSION_REGENERATE_ID )
session_regenerate_id(SESSION_REGENERATE_ID);
您在两种不同的情况下使用相同的值:
session_regenerate_id()
是否应立即销毁与旧会话ID相关联的数据 选择不立即销毁该数据就可以为异步请求提供这些竞争条件的解决方案,因为实际上这是不可避免的。 无论您如何努力避免这种情况,竞赛条件都会在某个时刻发生-即使没有逻辑缺陷,网络延迟(例如)仍然可能触发它。
通过简单地允许“延迟”或“不同步”请求处理开始时可用的任何数据,保留旧会话的数据(当然是暂时的)可以解决该问题。
过期的会话将在以后由会话垃圾收集器清除。 这可能并不理想,但是几乎是需要删除数据的存储的唯一解决方案(与Redis这样的缓存存储相对,后者允许您设置TTL值而不必手动删除)。
就个人而言,我更喜欢避免在AJAX请求期间特别是会话ID的再生……正如您所看到的,它是蠕虫病毒。 :)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.