第二十二章 CSP Session 管理 - Private Pages

第二十二章 CSP Session 管理 - Private Pages

CSP 提供了私有页面的概念。只能从同一 CSP 会话中的另一个页面导航到私有页面。私有页面对于想要限制对某些页面的访问的应用程序很有用。

例如，假设有一个名为 private.csp 的私有页面（CSP 示例页面之一）。用户无法直接导航到 private.csp（例如，通过输入其 URL）。用户只能从另一个 CSP 页面中包含的链接导航到 private.csp。引用 CSP 页面中包含的链接不能是绝对 URL，以 http:// 开头。只有相对于引用页面的路径才被私有页面方法正确加密/标记。即：下面的前两个链接将相同的令牌传递给目标私有页面 test2.csp。

<A HREF='test2.csp'>Link to private page - relative path</A> <BR>
<A HREF='/csp/samples/test2.csp'>
       Link to private page - full application path</A> <BR>
1
2
3

此链接的散列方式不同，无法访问。

<A HREF='http://myserver/csp/samples/test2.csp'>
        Link to private page - absolute path</A>
1
2

用户也不能为私有页面添加书签以供以后使用，因为用于保护私有页面的加密令牌仅对当前会话有效。

私有页面的工作方式如下。负责该页面的子类中的 %CSP.Page 将其类参数 PRIVATE 设置为 1。请求此页面的 URL 必须在其查询字符串中包含有效的加密 CSPToken 值。 CSP 处理的任何指向此页面的链接都会自动具有加密的 CSPToken 值。

编码 URL 参数

以类似于私有页面的方式，可以通过在类参数 ENCODED 中设置 %CSP.Page 的值来指定要对 CSP 页面的 URL 参数进行编码。 ENCODED 可以设置为 0、1 或 2。任何指向 ENCODED 类参数为 1 或 2 的页面的链接都会自动将任何 URL 参数编码在加密的 CSPToken 值中。如果 ENCODED 设置为 2，则必须对值进行编码；如果为 1，则可以混合编码值和未编码值。

ENCRYPTED 的三个设置是：

• ENCODED=0 — 查询参数未加密
• ENCODED=1 — 查询参数被加密并在 CSPToken 内传递
• ENCODED=2 — 与“1”相同，除了在调用 Page 方法之前从 %request 对象中删除任何未加密的参数。这可确保在对象中的 %CSP.Request中只有加密参数可用。

请注意，因为 ENCODED=2 会从 url 中删除未加密的参数，所以它可以禁用 Zen

Select an account:

Checking
Saving


1
2
3
4
5
6
7

Account Balance: $#(..GetBalance())#





1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

Select an account:

Checking
Saving


1
2
3
4
5
6
7
8