會話劫持經常通過XSS(跨站點腳本)或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。
. 使用TLS的端到端加密可保護郵件免受嗅探攻擊。它減少了中間人劫持會話的可能性。
. 如果會話cookie被盜並重播,則自動註銷將使會話cookie失效或使會話cookie無效,並減少影響。
. 較長且隨機的會話ID使得攻擊者更難以猜測或欺騙會話cookie,從而降低了可能性。
參考
. 什麼是會話劫持以及如何防止它?
. 會話劫持攻擊:了解和預防
資料來源: Wentz Wu QOTD-20210212