该标签下有 1 篇文章
会话固定是攻击者预先准备一个已知的 session ID 让受害者使用,待其登录后用该 ID 冒充受害者的攻击。关键防御是『每次登录(以及权限变化)时都重新生成 session ID』。禁止从 URL 接收 ID,并用 HttpOnly/Secure/SameSite 加固 Cookie。