能夠獲取或猜測會話 ID 的攻擊者可以竊取會話並濫用使用者的許可權。

• 為會話 Cookie 設定“HttpOnly”屬性
• 使用安全隨機性和足夠長度生成隨機會話 ID
• 不要洩露會話 ID

在 Cookie 上設定“HttpOnly”屬性可以防止它們被 JavaScript 讀取。這使得執行成功的 XSS 攻擊變得更加困難。隨機的安全會話 ID 可以防止攻擊者猜測有效的會話 ID。確保會話 ID 不會洩漏，例如在 Referer 資訊、複製的連結和來自站點的 HTML 內容等中，可以確保攻擊者無法透過這種方式獲得會話 ID。