个人思路,请大神看到了指点

个人理解token是防止扫号机或者恶意注册、恶意发表灌水,有些JS写的token算法,也会被抓出来被利用,个人感觉还是用会过期的Session做token更好,服务器存储,加载到客户端页面,然后进行对比

index.aspx

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="index.aspx.cs" Inherits="index" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head runat="server">

    <title></title>

     <script type="text/javascript" src="jquery.js"></script>

     <script>

         function submist() {

             if ($("#HDToken").val() != null) {

                 var JsonData = {

                     Token: $("#HDToken").val(),

                     sid: Math.random()

                 };

                 $.ajax({

                     type: "post",

                     url: "index.ashx",

                     dataType: "json",

                     data: JsonData,

                     success: function (data) {

                         if (data[0].status == 'success') {

                             alert("成功" + data[0].message);

                         }

                         else {

                             alert("失败" + data[0].message);

                         }

                     },

                     error: function (data, status, e) {

                         alert("系统错误" + status + "|" + data[0].message);

                     }

                 });

             }

             else {

                 alert("回话过期,重新刷新页面");

                 return;

             }

         }

     </script>

</head>

<body>

    <form id="form1" runat="server">

    <div>

    <input id="HDToken" type="hidden"  runat="server" />

        <input id="Button1" type="button" value="提交"  onclick="submist()"/>

        <asp:Button ID="Button2" runat="server" Text="清除" onclick="Button2_Click" />

        </div>

    </form>

</body>

</html>

index.cs

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

using System.Web.Security;

using System.Web.UI;

using System.Web.UI.WebControls;

public partial class index : System.Web.UI.Page

{

    protected void Page_Load(object sender, EventArgs e)

    {

        if (!IsPostBack)

        {

            string Token = "";

            if (Session["Token"] == null)

            {

                Session["Token"] = DateTime.Now.ToString();

                Token = Session["Token"].ToString();

                HDToken.Value = FormsAuthentication.HashPasswordForStoringInConfigFile(Token, "md5").ToLower();//MD5加密后赋值给隐藏域

                //Response.Write(HDToken.Value);

            }

            else

            {

                    Token = Session["Token"].ToString();

                    HDToken.Value = FormsAuthentication.HashPasswordForStoringInConfigFile(Token, "md5").ToLower();

                   // Response.Write(HDToken.Value);

                    //以下为回话过期,可以放在Global.asax 做定时器

                    TimeSpan span=DateTime.Now.Subtract(Convert.ToDateTime(Session["Token"]));

                    int min = span.Minutes + ;

                    if (min > )

                    {

                        Session.Remove("Token");//时间大于1分钟,移除

                    }

            }

        }

    }

    protected void Button2_Click(object sender, EventArgs e)

    {

        Session.Abandon();

    }

}

index.ashx

<%@ WebHandler Language="C#" Class="index" %>

using System;

using System.Web;

using System.Web.Security;

using System.Web.SessionState;

public class index : IHttpHandler, IRequiresSessionState

{

    public void ProcessRequest(HttpContext context)

    {

        context.Response.ContentType = "text/plain";

        string Token = context.Request["Token"];//获得隐藏域的值

        if (context.Session["Token"] != null)

        {

            if (FormsAuthentication.HashPasswordForStoringInConfigFile(context.Session["Token"].ToString(), "md5").ToLower() == Token)

            {

                context.Response.Write("[{\"message\":\"成功\",\"status\":\"success\"}]");

                context.Response.End();

                return;

            }

            else

            {

                context.Response.Write("[{\"message\":\"失败\",\"status\":\"error\"}]");

                context.Response.End();

                return;

            }

        }

        else

        {

            context.Response.Write("[{\"message\":\"过期\",\"status\":\"error\"}]");

            context.Response.End();

            return;

        }

    }

    public bool IsReusable {

        get {

            return false;

        }

    }

}

另一种方法,在请求头部加入token

    if (!IsPostBack)

    {

                ///生成 Token

                string Token = new Random().NextDouble().ToString();

                Session["token"] = Token;

                System.Web.UI.HtmlControls.HtmlGenericControl script = new System.Web.UI.HtmlControls.HtmlGenericControl("script");

                script.Attributes.Add("type", "text/javascript");

                script.InnerHtml = @"

                $.ajaxSetup({

                beforeSend: function (xhr) {

                    xhr.setRequestHeader(""token"", """ + Token + @""");

                }

            });

             ";

                Page.Header.Controls.Add(script);

     }

在请求结果页面直接获得string Token = context.Request.Headers["token"];

AJAX安全-Session做Token的更多相关文章

  1. 第八节:常见安全隐患和传统的基于Session和Token的安全校验

    一. 常见的安全隐患  1. SQL注入 常见的案例: String query = "SELECT * FROM T_User WHERE userID='" + Request ...

  2. 为什么你学不会递归?告别递归,谈谈我的一些经验 关于集合中一些常考的知识点总结 .net辗转java系列(一)视野 彻底理解cookie,session,token

    为什么你学不会递归?告别递归,谈谈我的一些经验   可能很多人在大一的时候,就已经接触了递归了,不过,我敢保证很多人初学者刚开始接触递归的时候,是一脸懵逼的,我当初也是,给我的感觉就是,递归太神奇了! ...

  3. cookie、session和token的概念

    Cookie.Session和Token都是为了解决Web身份校验而产生的,这里对它们的概念做一个简单了解. Web身份校验的发展 很久很久以前,Web基本上就是文档的浏览而已.既然是浏览,作为服务器 ...

  4. 理解cookie,session,token

    彻底理解cookie,session,token 发展史 1.很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新 ...

  5. [转帖]彻底理解cookie,session,token

    彻底理解cookie,session,token https://www.cnblogs.com/moyand/p/9047978.html 发展史 1.很久很久以前,Web 基本上就是文档的浏览而已 ...

  6. 关于新手必须要理解的几个名词,cookie、session和token

    以下要说的,虽然不是开发过程中必须会遇到的,但却是进阶之路上必须要掌握的,一些涉及到状态管理与安全的应用当中尤为重要. 我之前虽略有学习,但也是东拼西凑临时看的一点皮毛,所以在这个假期利用一点时间,整 ...

  7. 3 分钟带你深入了解 Cookie、Session、Token

    经常会有用户咨询,CDN 是否会传递 Cookie 信息,是否会对源站 Session 有影响,Token 的防盗链配置为什么总是配置失败?为此,我们就针对 Cookie.Session 和 Toke ...

  8. cookie、session与token

    一.详述概念 1.Cookie机制 cookie机制是采用在客户端保持状态的方案(cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力).cookie的使用是由浏览器按照一定的原则在后台自 ...

  9. 小白必读:闲话HTTP短连接中的Session和Token

    本文引用了刘欣的文章,感谢原作者的分享. 1.引言 Http协议在现今主流的IM系统中拥有无可替代的重要性(在IM系统中用HTTP发起的连接被大家简称为http短连接),但Http作为传统互联网信息交 ...

随机推荐

  1. SqlServer按照指定顺序对字段进行排序

    最近的一个项目,使用存储过程对报表进行分析,其中有一些名称需要根据指定顺序显示,而其名称对应的编号并不是按照要求的顺序排列的.通过上网查找资料,发现sql 中的charindex函数可以帮助解决这个问 ...

  2. node.js在windows下的学习笔记(8)---进程管理Process

    process是一个全局内置对象,可以在代码中的任何位置访问此对象,这个对象代表我们的node.js代码宿主的操作系统进程对象. 使用process对象可以截获进程的异常.退出等事件,也可以获取进程的 ...

  3. ASC(1)G(上升时间最长的序列)

    G - Beautiful People Time Limit: 10000/5000MS (Java/Others) Memory Limit: 128000/64000KB (Java/Other ...

  4. android开发 Fragment嵌套调用常见错误

    在activity中有时须要嵌套调用fragment,但嵌套调用往往带来视图的显示与预期的不一样或是fragment的切换有问题.在使用时要注意几点: 1.fragment中嵌套fragment,子f ...

  5. 关于websocket中的心跳..

    客户端的实现:1, 如果你正在对流进行读写,那么表示其实你己经在活跃状态,不需要发送心跳消息2, 如果你的网络是空闲的, 那么需要指定一个时间间隔(如20sec)向server发送心跳消息.所谓的心跳 ...

  6. Java自学成长路线(转载)

    JAVA自学之路 一:学会选择  决心做软件的,大多数人选的是java,或是.net,也有一些选择了手机.嵌入式.游戏.3G.测试等.  JAVA是一种平台,也是一种程序设计语言,如何学好程序设计不仅 ...

  7. javascript笔记05:函数表达式和函数语句的区别

    1.首先是函数语句: myfunc(); function myfunc() { //执行一些语句 } 当函数语句被定义的时候,在一个脚本代码被优先考虑,因此,无论该函数是定义之前或者定义之后都可以被 ...

  8. c语言—临界资源管理

    临界区管理的基本原则是: ①如果有若干进程要求进入空闲的临界区,一次仅允许一个进程进入.②任何时候,处于临界区内的进程不可多于一个.如已有进程进入自己的临界区,则其它所有试图进入临界区的进程必须等待. ...

  9. 多线程GCD

    经常使用:规避很多线程相关的复杂的逻辑 为什么会gcd?因为pthread和nsthread要求开发人员对线程相关的知识了解深入; 手动启动线程:加锁/解锁;造成很多隐患 --> 苹果公司给出了 ...

  10. 下拉列表(web),用jQuery实现

    <!DOCTYPE html><html><head>    <meta http-equiv="Content-Type" conten ...