このタグの記事 1 件
セッション固定は、攻撃者が用意した既知のセッションIDを被害者に使わせ、ログイン後にそのIDでなりすます攻撃。本命の防御は『ログイン(と権限変化)のたびにセッションIDを再生成する』こと。URLからのID受け取りを禁じ、Cookieは HttpOnly/Secure/SameSite で固める。