赞

-何以待你好偏不懂

不明觉雕
夏普 SHV39(白色)

@小杨，还可以用background。目前我不准备处理。

@老虎会游泳，会不会出现sid泄露的风险
小米Mix3

https://hu60.cn/q.php/bbs.topic.93350.html
https://hu60.cn/q.php/bbs.topic.93186.html
老虎之前不是说设置了httponly嘛，所以获取cookie也是不行的吧
https://cway.top

对于URL中的sid，我的解决方法是这个：

// 防止URL中的sid泄露给外链站点
header('Referrer-Policy: origin-when-cross-origin');

https://github.com/hu60t/hu60wap6/blob/master/src/sub/csrf_protect.php#L3

Referrer-Policy的文档：
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Referrer-Policy

至于Cookie，Cookie不会发送给非同源域名，所以里面的sid也不会泄露给外站。

@胡椒舰长，加载flash会使浏览器产生警告，除非用户手动操作，否则不会加载。而且加载flash这种操作只有网页插件可以做到。

我还以为有xss漏洞
啦啦啦啦