Moin!

Wenn Dir dann das Beenden Serverseitig nicht gefällt, schreib die Regel, wann die Session gelöscht werden soll direkt ins Javascript und beende mit dem Löschen direkt die Ajax-Abfrage, ohne nochmal über den Server zu gehen.

Der Server MUSS prüfen, ob die Session gültig ist - ansonsten manipuliert ein Angreifer diese clientseitige Prüfung aus der Website heraus und greift dann auch auf abgelaufene Sessions zu.

Klar, der Extra-Request scheint überflüssig, aber prinzipbedingt kann der Client nicht wissen, wann der Server die Session für abgelaufen oder ausgeloggt hält (muß ja nicht nur durch zeitlichen Ablauf passieren, kann ja auch in einem anderen Browserfenster auf "Logout" geklickt werden). Es ist also unumgänglich, dass der Request erfolgt. Auch ohne AJAX würde der User irgendwo klicken, einen Request auslösen, und als Ergebnis "Session ungültig" erleben.

So ist halt das Leben.

- Sven Rautenberg