关于保护 SWFUpload 的思考

Question

使用由 Javascript 控制的 Flash 上传器（例如 SWFUpload）的问题之一是 Flash 在执行上传脚本时启动自己的会话。这意味着如果上传脚本对用户进行身份验证，它将失败。

解决此问题的一种方法是将 PHPSESSID 作为 post 参数传递给脚本。然而，这并不是一个完美的解决方案，因为许多托管提供商都打开了 PHP 设置“session_use_only_cookies”，从而阻止从请求中接受会话 ID。

显然，有时您不希望匿名用户执行您的上传脚本，并从天知道的地方传递天知道的内容，这显然是一个主要问题。

我想知道除了会话和 cookie 之外是否有人有任何其他想法来验证用户身份。是否可以验证 Flash 请求是否来自预期来源以及有效用户是否发起了该请求。使用除 PHPSESSID 之外的某种令牌，也许，这如何工作（如果有的话）？

Answer 1

是否可以验证 Flash 请求是否来自预期来源以及有效用户发起的请求。

不可靠，不。您永远无法可靠地验证 Flash 请求是否来自“预期来源”。您只能验证其内容。

使用 PHPSESSID 之外的某种令牌，也许，如果有的话，这怎么可能？

您可以发明自己的“会话恢复令牌”（又名“记住我 cookie”）功能来将 SWFUpload 会话与 PHP 会话关联起来。但它不会验证客户端软件，只会验证两个会话之间的关系。