@流氓,登录后不是有两个不同的跳转链接吗,一个是有sid,一个是没有sid。选择那个没有的就可以了啊。
如果想把有的去掉,就改这个文件:
https://github.com/hu60t/hu60wap6/blob/master/src/tpl/classic/html/user/login_success.tpl#L10
把这一行删掉就可以了啊。
@流氓,请阅读 https://hu60.net/q.php/bbs.topic.82570.html
1、如果你的脚本并不是跨站脚本,你不需要传递sid。sid参数总是可选的。如果不传递sid,将会使用之前登录时保存在浏览器cookie中的sid。
2、如果你的脚本是跨站脚本,那么【你当然不能并且不应该能获取原网站登录用户的sid,否则这是一个重大安全漏洞】。所以,你必须通过自行让用户输入用户名和密码登录,然后在登录接口就能获取sid,然后就能传递了。
登录状态保持:
向登录页的JSON版提交用户名和密码,可以获得返回的 sid 和 cookie。
如:
curl --data 'type=1&name=老虎会游泳&pass=123&go=1' https://hu60.net/q.php/user.login.json
你会得到
{
"page": "loginPage",
"success": false,
"notice": "密码错误。",
"active": null
}
如果密码正确,你就可以得到sid了。
跨域Ajax:
通过 _origin 参数可以指定允许跨域的域名,比如:
https://hu60.net/q.php/index.index.json?_origin=*注意:一但出现 _origin 参数,虎绿林将拒绝接受或设置任何Cookie,如果你希望用户能够登录,必须按照“登录状态保持”一节所说的通过 GET、POST 或在网址中传递 sid 参数。
虎绿林通过拒绝接受任何 Cookie 保证了跨域对已经在虎绿林登录的用户是安全的,用户身份信息不会被 XSS 脚本盗用。
通过拒绝设置任何 Cookie,防止跨站应用对已经在虎绿林登录的用户造成副作用,比如在跨站应用中登录另一个帐号,在虎绿林中登录的帐号并不会改变。