外部链接:» 会话固定
会话模块无法保证存储到会话中的数据仅能被会话创建者可见。 如果要保护会话的完整性,你需要进行一些额外的工作。 至于如何保护会话,取决于你在会话中所存储的数据。
要保护会话中的数据,通常有额外的成本,并且有可能影响用户使用的便利性。 例如,要想防范简单的社会工程学方式的攻击, 你需要启用 session.use_only_cookies。 这样一来,用户需要无条件的接受 cookie,否则会话功能将无法 正常工作。
有几种方式可以将会话 ID 泄露给第三方。 会话 ID 的泄露会导致第三方可以访问该会话 ID 所关联的所有资源。 如果从你的站点链接到外部站点,在 URL 中所携带的会话 ID 可能会被外部站点的 “referrer”日志记录。 其次,更加主动的攻击者会尝试监听你的网络通信, 明文传输的会话 ID 可能会被攻击者从网络层面窃取。 对于这种场景的解决方案是在服务器使用 SSL 通信, 并且强制用户使用 SSL 方式访问你的服务。