sessionId都是存储到客户端的,或者cookie或者url.在每次请求中都传回服务器。
那黑客有没有可能劫持请求。查看sessionid,然后冒名顶替?
1、sessionID 加密(可以自己设置规则,比如生成的时候,将用户IP和随机串拼接后加密+"-"+随机串,验证的时候,获取用户IP和随机串然后加密判断是 否一致,是一致则成功,否则登录)
2、设置 httponly,可以防止其他人和脚本获取到session
3、Cookie属性设置secure为true,必须使用https
4、session中不要存用户密码,不然被盗用了,连密码都盗用