研究了幾天session安全，得出幾個觀點，請指正：可以xss通過獲得cookie信息，包含sessionid可以通過截取http，獲得header信息，包含sessionid以上兩種法都有一定條件和難度如果服務端單靠sessionid識別會話信息，那么通過xss獲取了sessionid后，會泄露用戶信息，如果再通過ip，useragent信息加以校驗，可以減少風險如果截取了http，換用https方式可以減少風險即便是使用https，ssl證書也是可以偽造結論：xss漏洞更低級一些，但是造成的風險很大。http截取，截取范圍很小，風險小。當然，截取到admin的信息，那就不一樣了。http截取/ssl證書偽造的技術要求、環境要求較高，防治的成本也大。