严格按规定来的话不是很容易，这种类型的站点要前置审批

惊艳

签到难道不是指纹打卡？

感觉这帖子里程序狗们被黑出翔

@jarlyyn 你知道服务端一般是怎么得知是哪个用户请求了页面的吗？修改了密码，但有效cookie没有更改的话，其他人可以偷取cookie然后冒充你。

我也想起来，上次有个朋友让我帮他做个资源索引网站，我帮他注册了域名，demo也写好了，然后就没有然后了......

凡是发送到客户端的东西，都应该视为可以很容易被获取到。
除非是验证码这种需要识别的，但是该场景不适用。

@love 密码内容不放到cookie里是有道理的，hash过也存在被逆向的可能。

让cookie失效只需要在服务端保存session的地方将这个session设置为失效即可。验证session通过数据库或者缓存的内容来，而不是根据算法来。

@Narcissu5 嗯，的确是。但也有可能，保存cookie的浏览器我不使用了或者清理cookie了。不注销的话服务端那边还会一直认为有效的吧。

我有个同事用WP，支付宝客户端才上线没多久，扫码都不行，每次都要手动转账

左手

@explon 唔，你说得很有道理。如果是这样的话那就免除了重新登录的步骤，是个好的体验。

不过应该有很多网站的确没考虑到这个风险，我遇到过不少在Chrome上更改了密码，在Firefox上以前的登录状态还保留的情况。

原来是抓取站，我还以为是自己发布....

HTTP要做到精确判断应该是用长连接或者长轮询，耗资源，意义不大。我觉得大家说的用某个阀值来判断挺好的，这种东西要精确了干嘛呢

可以做淘宝

@xoxo 以往的帖子，一块钱么。我最近确实想搞个来玩玩→_→

@yangzh 免费的的确只能跑windows