PHP：登录后返回用户到他们的原始页面

Question

是否有任何'最佳实践'关于如何在登录到您的网站（特别是PHP）后返回用户到他们的原始页面？例如如果我在未登录的情况下查看StackOverflow问题，如果我登录，如何确保我返回到此问题？

从我的研究看来，围绕$ _SERVER ['HTTP_REFERER']变量提供了很多建议。基本上，你注意到引用者并将其存储在会话中，然后在完成后重定向到该页面。

问题在于HTTP_REFERER充其量是不可靠的。

这是由用户代理设置的。并非所有的用户代理都会设置它，有些提供了将HTTP_REFERER修改为功能的功能。总之，它不能真正被信任。
— [http://php.net/manual/en/reserved.variables.server.php]

的引荐任何编辑重定向到该网站的其他方面将通过常规的权限检查处理。如果引用者被截断，那么简单地将用户重定向到网站的主页面而不是他们来自的页面可能是可以接受的。这似乎是不必要的用户敌对，但我希望有更好的方法来处理这个问题。

Answer 1

在登录页面：

<form action="controller/LoginController" method="post"> 
<?php 

if (isset($_SERVER['HTTP_REFERER'])) { 
    echo '<input type="hidden" name="l" value="'.htmlspecialchars($_SERVER['HTTP_REFERER']).'" />'; 
} 

?> 
<!-- the rest of the form --> 
<input type="submit" /> 
</form> 

在登录控制器，你拿在$_POST['l']值，看看这个URL是否是您自己的网站。如果不是，则重定向到默认页面，否则重定向到此URL。

如果用户已经登录，请确保在登录页面上将用户重定向回主页或其他内容。这将防止重定向回登录等情况。

$_SERVER['HTTP_REFERER']是浏览器的责任。这也是大部分时间都相当可靠。如果浏览器没有发送，或者您担心，可以使用会话。

在每个页面上简单地将$_SESSION['lastvisitpage']设置为当前页面的URL。登录后，您重定向到$_SESSION['lastvisitpage']。

由于$_SERVER['HTTP_REFERER']可以在任何时候由用户伪造，所以应该始终把任何其他用户提供的变量视为正确转义。

Answer 2

我会建议做一个AJAX调用来登录用户和成功的AJAX响应只刷新当前页面。

Answer 3

如果您自己存储上次访问过的页面，或许是在会话的帮助下，会更好。

如果用户第一次向您的网站请求一个页面，请启动一个新的会话并使用当前URI初始化last-URI。更新此last-URI每当请求另一个页面，直到它是登录页面。现在，如果验证成功，您可以将用户重定向到最后一个URI中的URI。

而且，如果您在每个页面上都有登录表单，请在存储当前URI的位置使用隐藏输入。

Answer 4

if(user_not_logged_in()) 
{ 
    $link = "http://example.com/login?continue=path/to/current/page"; 
    echo '<a href="'.$link.'">Loign</a>'; 
} 

这就是我和Google这样的网站做的。您需要确保先检查continue变量，然后再对其进行消毒处理。

另一种选择是使用AJAX，并允许用户从任何页面登录。用户登录后，您通过AJAX提交表单，请求返回时刷新。

---

我想你可能会问，如果用户在菜单上的登录链接上点击明确，你会自动认为用户希望被重定向到他们从按下按钮的页面。我相信这是逻辑上的缺陷。以StackOverflow。仅仅因为我按登录并不意味着我想回到我最后的问题。

不过，也有一些情况下，这将是正确的承担人要回去，比如如果我upvoted问题，并得到了弹出告诉我登录。如果我在那里点击链接，假设我想回去是安全的。但只是导航栏上的登录链接没有这个含义。