一、Session劫持 原理： 用户登入后网站保存了用户的session id,黑客通过暴力破解、预测或者使用网络探嗅拿到session id，以此获得合法的会话。 防御：1、添加HTTP Only，防止从cookie中读取session id 2、 HTTP Secure 二、会话固定 原理： 会话固定是会话劫持的一种，会话固定是诱骗用户使用指定的会话标识 防御：1、每当用户登入时对session id进行重置 2、session id 超过限制时间，进行重置session id 3、禁止客户端访问Cookie,设置HttpOnly 三、Session保持攻击 原理：用户拿到session id后，让session id一直保持服务器中，不让session id销毁，称为永久后门。一般cookie与session 都有过期时间，达到失效时间后就失效，有一些系统出于体验，当用户活跃时会保持session。 防御：1、设置session失效时间，如三天 2、用户环境发生变化使session 失效，如ip、UserAgent发生了变化 3、一个用户只能拥有一个session