可能重复:
What is the best way to prevent session hijacking?
Is encrypting session id (or other authenticate value) in cookie useful at all?
我的会话处理程序将会话ID存储在cookie中,并返回cookie的值以用作对数据库的引用。
我的问题简短而简单。我应该加密cookie中的会话ID还是没有意义?
谢谢! :)
答案 0 :(得分:5)
这完全没有意义。即使您加密了会话ID,加密版本也会通过cookie发送到您的服务器。如果有人想劫持它,他会窃取加密的会话ID并将其发送到您的服务器。您的服务器很乐意解密它。