携帯サイトでユーザー認証をするにはurlにセッションなり何なり入れて引き回す必要があると思います(docomoは携帯個別番号を飛ばす際確認がでるとおもうので、ページ切り替え毎に確認を押すのは現実的ではないとおもう)。
セッションを引き回して、広告バナーのリンクに飛ぶと、リファラーでセッションを取られてしまうと思います。
その際、セッションの生存期間が短いにしても、一時的に他人がユーザーに成りすまして、サイトにアクセスする事ができるようになってしまいます。
皆様ならこの問題どのように解決されますか?
URLはダミーです。
以下のようにHiddenタグにしてセッションを引き回すのは如何。
<input type=”hidden” name=”sessionID” value=”xxxxxx”>
URL はダミーです。
1.広告へのリンクを
http://自サーバ/広告1.htm
のように「自サーバ かつ セション情報無し(したがって認証は無し)」の
URL に張っておく。
2.自サーバの設定で、上記 URL へのアクセスを
「本当の広告先へ(リターンコード 302 などで)リダイレクト」
させる。
こうすれば、ユーザが広告リンクをクリックしても、広告先のサーバの
リファラでは、上記1.の URL しか見えないと思います。
当然、一旦、セション情報を失いますので、
「広告へ飛ぶ場合は自動的にログアウトされます」などの注意書きが
必要になります。
広告へジャンプするとログアウトという条件が付いてしまいますが、
いかがでしょうか?
ありがとうございます!
リダイレクト
ありがとうございます!
それだと、すべてのリンクがsubmitボタンになってしまいます・・・