能够获取或猜测会话 ID 的攻击者可以窃取会话并滥用用户的权限。

• 为会话 Cookie 设置“HttpOnly”属性
• 使用安全随机性和足够长度生成随机会话 ID
• 不要泄露会话 ID

在 Cookie 上设置“HttpOnly”属性可以防止它们被 JavaScript 读取。这使得执行成功的 XSS 攻击变得更加困难。随机的安全会话 ID 可以防止攻击者猜测有效的会话 ID。确保会话 ID 不会泄漏，例如在 Referer 信息、复制的链接和来自站点的 HTML 内容等中，可以确保攻击者无法通过这种方式获得会话 ID。