2.會話的會話ID放在cookie中。如果要中斷會話,必須先中斷cookie。打破cookie後,必須獲得sessionid。只有當有人登錄或啟動session_start時,會話ID才可用。妳不知道什麽時候會有人登錄,所以即使妳劫持了cookie,也不壹定包含會話ID。
3第二,sessionID加密(被服務器加密後返回。使用python web框架和Django中的secret_key進行加密。當然也可以手動設置加密鹽)。當第二個session_start時,前面的sessionID就沒用了(因為加密的salt包含時間戳等信息)。
4.當會話到期時,sessionid也會失效,因此很難在短時間內破解加密的sessionID。Session是針對某個通信的,會話結束會話就消失了。真正的cookie存在於客戶端硬盤上的壹個文本文件中,所以很明顯誰是安全的。
5.如果session這麽容易壞,不安全,我覺得現有的大部分網站都不安全。