私はちょうどフォームと私は本当に長い/永久的なセッション継続時間を設定し、セッションタイムアウトを処理するためにonRequestにセッション変数を使用して、ColdFusionでページリファラーまたはリモートCFCコールを「承認」しますか?
if DateDiff("n", now(), session.lastactive) gt 15
を使用することについて疑問に思ったリモートCFCのセキュリティに対処しようとするアイデアを中心に考えています。次に、参照/呼び出しページにsession.referrerを設定し、フォームハンドラまたはリモートcfcでテストします。私はそれが行われていることを読んでいないので、これをしないと良い理由があるでしょうか?
私はそれを取得しません。これはどのようなセキュリティを提供しますか?なぜ手動でセッションを制御したいのですか? ColdFusionはあなたのために既にそれを行います。私はこれで何の利益も見ません。おそらくあなたがしようとしているもののためのメカニズムがすでに存在します。あなたはそれが何であるかについてより具体的になりますか? –
私が避けようとしているのは、フォームハンドラか、リモートcfcがアクセスしようとしている私のサイトのページ以外のどこかからアクセスされていることです。私はスプーフィングできない可変スコープがセッションスコープなどのものだと考えていました。送信しているページがトークンを渡して、処理ページでそれが見つからない場合は、フォームハンドラ/ ajax cfcのサイト使用を停止しないでしょうか? – Saul
リクエストが実際にあなたのアプリケーションから来たものであることを確認するので、Jasonの答えが行く方法です。それを正解とマークする必要があります。 –