貌似现在很多网站的验证码的更新方式是:每刷新一次验证码图片(通常是请求某个链接得到图片)才在Session中更新一次验证码,于是就有了这样的一个问题:当自己输入账号密码失败的时候,验证码并不会更新(除非跳到有验证码的那页重发下验证码的请求),于是就有了一个漏洞,我输入一次验证码,就可以发送无数条请求(注册投票都存在这个问题)。
所以我们要做的是在登录出错的时候也更新验证码。
在此做个标记,以备以后自己的遇到。
貌似现在很多网站的验证码的更新方式是:每刷新一次验证码图片(通常是请求某个链接得到图片)才在Session中更新一次验证码,于是就有了这样的一个问题:当自己输入账号密码失败的时候,验证码并不会更新(除非跳到有验证码的那页重发下验证码的请求),于是就有了一个漏洞,我输入一次验证码,就可以发送无数条请求(注册投票都存在这个问题)。
所以我们要做的是在登录出错的时候也更新验证码。
在此做个标记,以备以后自己的遇到。