HTTPS 如何防止会话劫持

会话劫持也可以由嗅探您的网络流量的人执行。例如，假设您通过HTTP连接到Stackoverflow，并且有人读取您发送到服务器的每个请求。每次您访问不同的页面时，您都会将身份验证cookie以及您的请求发送到Stackoverflow，这样它就会知道您已登录，并且不会要求您再次登录。

问题是，由于您的通信是作为明文执行的，攻击者可以读取您的请求，他将能够获取您的身份验证cookie，并且他将能够冒充您。

现在，如果您使用的是HTTPS，则通过加密通道进行通信。即使攻击者正在嗅探您的所有请求，他也无法获得任何有意义的信息，因为他只会看到加密文本。这就是为什么HTTPS可以防止会话劫持的原因。 当然，劫持会话有不同的方法，中间的人只是其中之一，所以也许你应该看看这个：https://www.owasp.org/index.php/Session_hijacking_attack

此外，作为旁注，"仅使用 HTTPS"不是灵丹妙药，它需要正确配置和实现，因此，如果您是将执行一些服务器端配置的人，我强烈建议您阅读有关协议和对协议的攻击的更多信息，以避免一些常见错误(例如启用旧版本的 SSL， 或使用损坏的算法，如 RC4(。