大家好 小弟是web dev新手
目前是用GAE
我已经大致上写出一个登入系统了
但做法是把使用者的id存在cookie里并+SECRET、hash
但这代表只要有人拿走cookie变能登入@@
请问这要怎么解决呢
应该是跟session有关 但我不怎么确定怎么实作
memcache?
况且网页里还有summer note的html编辑器
稍微弄一下就被XSS了
这又要如何解决？

其实无解，顶多是设个timeout，或像google那样，距离太就强制登出 ^^^^^^^ expires 才对毕竟根本没有办法确认，每一次登入的都是同一个浏览器因为除了ip外，client来的所有讯息都是可以伪造的

很简单 1. 验证 user agent 跟 ip基本上你无法防堵cookie被中间人偷走或伪造但你可以设计一些验证方法来加强防堵

所以要把ip一起hash进去就是了？ 那这样用浮动ip电脑的人。“记住我”的功能是不是就废了

这就是代价阿，像巴哈姆特就是session绑ip没有十全十美的方式阿就连user-agent都能被js捞到，只要被xss，ip以外的所有防堵方式都废了阿所以唯一的办法就是不要被xss，开https，祈祷user不要电脑中毒http://goo.gl/sMTxj 虽然有header之类的东西，支援度还是个问题

我现在的写法是有人在已登入的电脑开F12 看cookie 就可以在别台电脑登你给的文件我研究研究