是。

所以有的网站在登录状态全程 https
显示用户关键信息（真名、手机号、身份证号、银行卡号）时，非必要时可以不全部显示，只显示尾号
有的网站在关键操作（比如涉及钱）的时候要增加额外的验证，比如输入支付密码，比如手机短信验证……

【 在 zhima (芝麻) 的大作中提到: 】
: 按照http协议，web服务器是根据session来识别和维护各个http请求的状态的
: 如果我截取到了某个人的http请求的sessionid，然后伪装成这个sessionid来发请求，是不是就有很大的安全隐患了，特别是对数据隐私特别敏感的网站？
: 一般的网站（比如电商）是怎么避免这种安全隐患的？
: ...................
--
修改:vonNeumann FROM 211.99.222.*
FROM 211.99.222.*