他们有什么方法可以隐藏会话ID被嗤之以鼻?
答案 0 :(得分:7)
请勿附加SID to the URL
使用https。
(为会话cookie设置httponly flag。)
答案 1 :(得分:1)
如果被“嗅探”,你的意思是“被中间人攻击并聆听服务器和客户端之间的所有网络流量”,唯一可靠的方法就是使用https。
是否将SID附加到URL没有区别:SID仍然作为cookie发送,如果您不使用HTTPS,则该cookie将以未加密的方式发送。
httponly flag非常好地保护免受XSS攻击 - 请参阅VolkerK链接到的博客文章 - 但不是针对嗅探器
(......如果是动词)
您可能必须明确定义要防范哪种攻击者才能获得更多答案。