@流氓,登录后不是有两个不同的跳转链接吗,一个是有sid,一个是没有sid。选择那个没有的就可以了啊。 如果想把有的去掉,就改这个文件: https://github.com/hu60t/hu60wap6/blob/master/src/tpl/classic/html/user/login_success.tpl#L10 把这一行删掉就可以了啊。
@流氓,哦,你是想做一个不用登录就能聊天的聊天室吗? 还是说,你想只是想让已登录用户通过ajax发消息?
@流氓,请阅读 https://hu60.net/q.php/bbs.topic.82570.html 1、如果你的脚本并不是跨站脚本,你不需要传递sid。sid参数总是可选的。如果不传递sid,将会使用之前登录时保存在浏览器cookie中的sid。 2、如果你的脚本是跨站脚本,那么【你当然不能并且不应该能获取原网站登录用户的sid,否则这是一个重大安全漏洞】。所以,你必须通过自行让用户输入用户名和密码登录,然后在登录接口就能获取sid,然后就能传递了。
登录状态保持: 向登录页的JSON版提交用户名和密码,可以获得返回的 sid 和 cookie。 如:
curl --data 'type=1&name=老虎会游泳&pass=123&go=1' https://hu60.net/q.php/user.login.json
你会得到
{ "page": "loginPage", "success": false, "notice": "密码错误。", "active": null }
如果密码正确,你就可以得到sid了。
跨域Ajax: 通过 _origin 参数可以指定允许跨域的域名,比如: https://hu60.net/q.php/index.index.json?_origin=* 注意:一但出现 _origin 参数,虎绿林将拒绝接受或设置任何Cookie,如果你希望用户能够登录,必须按照“登录状态保持”一节所说的通过 GET、POST 或在网址中传递 sid 参数。 虎绿林通过拒绝接受任何 Cookie 保证了跨域对已经在虎绿林登录的用户是安全的,用户身份信息不会被 XSS 脚本盗用。 通过拒绝设置任何 Cookie,防止跨站应用对已经在虎绿林登录的用户造成副作用,比如在跨站应用中登录另一个帐号,在虎绿林中登录的帐号并不会改变。
跨域Ajax: 通过 _origin 参数可以指定允许跨域的域名,比如: https://hu60.net/q.php/index.index.json?_origin=*
注意:一但出现 _origin 参数,虎绿林将拒绝接受或设置任何Cookie,如果你希望用户能够登录,必须按照“登录状态保持”一节所说的通过 GET、POST 或在网址中传递 sid 参数。 虎绿林通过拒绝接受任何 Cookie 保证了跨域对已经在虎绿林登录的用户是安全的,用户身份信息不会被 XSS 脚本盗用。 通过拒绝设置任何 Cookie,防止跨站应用对已经在虎绿林登录的用户造成副作用,比如在跨站应用中登录另一个帐号,在虎绿林中登录的帐号并不会改变。
@流氓,登录后不是有两个不同的跳转链接吗,一个是有sid,一个是没有sid。选择那个没有的就可以了啊。
如果想把有的去掉,就改这个文件:
https://github.com/hu60t/hu60wap6/blob/master/src/tpl/classic/html/user/login_success.tpl#L10
把这一行删掉就可以了啊。
@流氓,哦,你是想做一个不用登录就能聊天的聊天室吗?
还是说,你想只是想让已登录用户通过ajax发消息?
@流氓,请阅读 https://hu60.net/q.php/bbs.topic.82570.html
1、如果你的脚本并不是跨站脚本,你不需要传递sid。sid参数总是可选的。如果不传递sid,将会使用之前登录时保存在浏览器cookie中的sid。
2、如果你的脚本是跨站脚本,那么【你当然不能并且不应该能获取原网站登录用户的sid,否则这是一个重大安全漏洞】。所以,你必须通过自行让用户输入用户名和密码登录,然后在登录接口就能获取sid,然后就能传递了。