研究了几天session安全，得出几个观点，请指正：可以xss通过获得cookie信息，包含sessionid可以通过截取http，获得header信息，包含sessionid以上两种法都有一定条件和难度如果服务端单靠sessionid识别会话信息，那么通过xss获取了sessionid后，会泄露用户信息，如果再通过ip，useragent信息加以校验，可以减少风险如果截取了http，换用https方式可以减少风险即便是使用https，ssl证书也是可以伪造结论：xss漏洞更低级一些，但是造成的风险很大。http截取，截取范围很小，风险小。当然，截取到admin的信息，那就不一样了。http截取/ssl证书伪造的技术要求、环境要求较高，防治的成本也大。