leonwong

《1984》

会玩游戏

@msg7086 https搭建复杂度可能对我而言比较高，而且如果参考孔明社交平台后台管理的话，也是可以不用https的，你说的我会好好斟酌，谢谢

@undeadking 是我太依赖js了，的确是舍近求远，我现在采取的措施是，jsp和纯静态混合使用，jsp效率高的就用jsp，html适合的就用html，不坚持用js配合html死做下去

@darcy 恩恩。我明白了很多了，具体细节交给我自己捉摸吧，谢谢

@darcy 用了好几年也就证明这个模式可行对吧？我的确感觉出这种方式所遇到的安全问题，动态页也是面临的，所以我才会去尝试

@msg7086 感谢给出一个非常具体的实施方法，你的描述过程非常符合我的口味啊，我也大概知道纯静态的token该怎么实现了，我还想知道，如何防止因为暴露URL带来的隐患和恶性攻击？因为ajax中会暴露我后台程序的URL信息

@PrideChung 的确，我同意你这个看法，但是性能上暂时还在我的可接受范围内，但是可能后来复杂度一增加可能就不如意了，安全隐患其实连我自己都觉得这样很不靠谱，但是我之所以提出此类问题就是想知道不靠谱的地方在哪，一一例举出来，这样才可以找到靠谱的方式去解决，就好像玩网络攻防实验课一样，我觉得这样是一个不错的学习过程，谢谢你能参与进来讨论

@Frannk
谢谢你对这种模式的支持，我的安全需求是：
1、要求用户资料相互隔离，不能被爬虫爬到关键隐私信息；
2、能防止CSRF攻击。
如果用https的话，可能成本有点高。大概和微信公众平台管理页面，或者孔明社交管理平台差不多，我也参考过他们的源码，说实话才疏学浅看不明白，也可能是我仅学了jsp，其他平台语言尚未接触，所以看不懂。
另外，您说的第3点和第4点如何实现？（平台是jsp+tomcat服务器）