SessionID本身的保护：1是要对Cookie设定HTTPOnly，二是绝对防止XSS.三就是CSRF，本质上它主要还是是利用你本地的SeesionID
【 在 zhima 的大作中提到: 】
: 按照http协议，web服务器是根据session来识别和维护各个http请求的状态的
: 如果我截取到了某个人的http请求的sessionid，然后伪装成这个sessionid来发请求，是不是就有很大的安全隐患了，特别是对数据隐私特别敏感的网站？
: 一般的网站（比如电商）是怎么避免这种安全隐患的？
: ...................
--
修改:dhcn FROM 119.57.128.*
FROM 119.57.128.*