iframe 是否可以有不同的会话？

Question

我想构建一个管理工具，我可以在其中“模拟”我的网站的用户，而不必失去作为管理员的会话。

我希望能够打开一个 iframe，它将“作为用户”查看网站，而不更改打开 iframe 的页面的状态。

这可能吗？有更好的方法吗？

Answer 1

这是可能的，但有一点“但是”:)

只需几个选项即可开始：

1. 使用基于 URL 的会话令牌（如禁用 cookie 时 Java Servlet 所做的那样）
2. 对“正常”站点和管理界面使用不同的域

iframe 本身不会对您有太大帮助：它始终会与浏览器共享其 cookie。因此，为了避免这种情况，您可以使用上述任一选项，但这不依赖于 iframe。

Answer 2

什么语言？我的回答基于 PHP 是您选择的语言的假设。

首先，我想说，如果会话模拟是您可以以其他用户身份查看您的网站，同时仍保持管理员登录完整的唯一方法，那么您的应用程序计划是错误的。

您可以做到这一点的一种方法是，假设您正在使用 PHP 以及其中的默认会话管理功能，并且您没有自定义会话处理程序，则将使用 ?PHPSESSID= 加载 iframe url sessionidhere 参数。

更好的方法是创建您的网站并通过某种用户对象对用户进行身份验证，然后添加某种 url 参数，例如 ?userbrowseid=123

然后，当您加载页面时，您的代码仅当您已经以管理员身份登录时才会检查该参数是否存在。然后，页面将使用 ID 为 123 的用户的用户对象覆盖当前的用户对象。应采取措施确保您的会话 cookie 不会被模拟的用户对象覆盖。由于这将在 iframe 中，因此您的站点将作为管理员运行，并且 iframe 将作为用户对象加载。