排除和目标机器物理接触, 能截到cookie的信息的, user-agent之类的信息同样能获取, 所以,除非绑定IP, 不然怎么加密都是做给瞎子看而已
说穿了, 排除诸如xss之类的程序安全问题, 唯有https才能最大限度的防止被嗅听或者劫持
安全性讨论: 点击打开链接http://www.oschina.net/question/1048342_116886
跨站攻击是什么:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html