会话劫持是攻击者通过窃取或预测用户会话令牌，冒充合法用户执行操作的网络攻击。常见手段包括：嗅探未加密的HTTP流量获取Cookie、利用跨站脚本（XSS）窃取会话ID、或通过中间人攻击拦截通信。防御的核心在于确保会话令牌的机密性与随机性。务必使用HTTPS全站加密，防止令牌在传输中被截获。设置Cookie的Secure和HttpOnly属性，前者限定仅通过HTTPS发送，后者禁止客户端脚本访问，有效抵御XSS窃取。会话ID应使用强随机数生成，并设置合理过期时间，用户登出或闲置超时后立即失效。此外，实施绑定策略，如将会话与IP地址或用户代理关联，增加劫持难度。定期更换会话令牌，尤其在敏感操作前重新验证身份。对于开发者，应严格过滤用户输入，防止XSS漏洞，并从框架层面启用会话保护机制。用户则需警惕公共WiFi，及时更新浏览器，并养成登出习惯。通过多层防护，可大幅降低会话劫持风险。_黑客手机定位